Online támadások: a DNS szerverek végzik el a piszkos munkát

A DNS szerverek körülbelül úgy működnek az Interneten, mintha telefonkönyvek lennének; a szöveges domainneveket alakítják át IP-címekké. Éppen ezért létfontosságú szerepet töltenek be a Világháló életében, nélkülük nem lenne használható a World Wide Web. Erre rájöttek a DoS-támadásokat (denial of service) kezdeményező, ártó szándékú internetezők, akik egyre gyakrabban már ezeket a szervereket használják fel céljaik elérésére.

Következő a trükk: a támadók először „hagyományos” módszerekkel létrehoznak egy botokból álló kisebb hálózatot (botnet), majd nagymennyiségű kérelmet intéznek a DNS szerverekhez. Ezek a kérelmek azonban olyan módon vannak meghamisítva, hogy a szerverek számára úgy tűnjék, máshonnan érkeztek, mint ahonnan valójában küldték. Emiatt aztán a szerverek a hamis hálózati címre válaszolnak – méghozzá igen nagy adatmennyiséggel, ezzel kvázi szinte azonnal kiütve a célpont site-ot az Internetről.

Miért „előnyös” a DNS szerverek használata?
Az egyik legfontosabb jellemzője az ilyen incidenseknek, hogy sokkal nehezebben válik felfedhetővé, hogy honnan is érkezett a támadás, hiszen a megtámadott csak azt látja, hogy az internet telefonkönyvei terhelik túl a rendszerét. A másik tényező pedig az adatmennyiség: a szerverek, speciális helyzetükből adódóan nagyon nagy adatmennyiségek generálására képesek, azaz általuk sokkal könnyebben túlterhelhető a támadási célpont. Egy egyszerű DNS kérés akár 73-szor több adatot tartalmazó választ is kiválthat, olvasható Randal Vaughn, a Baylor Egyetem, és Gadi Evron, az izraeli CERT (Computer Emergency Response Team) menedzserének nemrég kiadott elemzésében.

Ráadásul van még egy gond: egy hagyományos, botnet által kezdeményezett DDoS támadás leállítása, kivédése jóval egyszerűbb, mintha a DNS szerver(ek) ellen kell fellépni. Hiszen egy DNS szervertől érkező kérelmek blokkolása egyben azt is jelentheti, hogy a valós internetezőktől érkező kérelmek is tiltásra kerülnek, azaz végeredményben ugyanott van a megtámadott rendszer, mintha „engedne” a támadásnak. Ez a legnagyobb problémája a DNS szervereket alkalmazó DDoS próbálkozásoknak.

Teendők
A megoldást a szerverek tulajdonosaitól kell várni. Ez pedig eltarthat egy ideig, hiszen az Interneten körülbelül 7,5 millió DNS szerver található, közülük pedig jónéhány (a kutatók ezek számát 600 ezer és 5,6 millió közöttre becsülik) teljesen nyitott az Internetről érkező kérelmekkel szemben. A központi gépeket felügyelő szervezeteknek le kell(ene) tiltaniuk a rekurzív kérelmek automatikus kiszolgálását: csak a megbízható felhasználók számára kell(ene) elérhetővé tenniük ezt a szolgáltatást.