18/04/2013 11:34:34 AM

Tin tức

DNS amplification/reflection attack

DNS amplification/reflection attack là loại DDoS xuất hiện cách đây gần 10 năm nhưng đến giờ vẫn còn khá nguy hiểm và được các nhóm tin tặc sử dụng để tấn công vào nhiều website của các tổ chức lớn trên thế giới vào năm ngoái. Loại tấn công này lợi dụng các Open DNS Resolver (là các recursive DNS server chấp nhận response cho bất cứ DNS client nào gửi query tới nó) cộng với yếu tố DNS sử dụng UDP protocol để thực hiện IP Spoofing với source IP của máy bị tấn công. Khi đó, attacker chỉ cần gửi một DNS query với kích thước nhỏ (cỡ 60 byte) tới rất nhiều các open DNS resolver thì máy bị tấn công sẽ nhận được rất nhiều DNS response với kích thước lớn gấp 50 lần (cỡ 3.223 byte) và dẫn tới tình trạng DoS. Nếu DNS server sử dụng DNSSEC thì sự việc càng trầm trọng vì DNS response trả về sẽ có kích thước lớn hơn nhiều (do chứa thêm các data để authentic và verify các response).

Chính vì vậy mà các tổ chức đang vận hành các DNS server được khuyến cáo không bật chế độ open resolver mà chỉ cho phép đáp ứng các query từ các IP/network cần thiết. Kết quả là trong năm nay, số lượng các open DNS resolver đã giảm đi 30%, một con số đáng kể và hy vọng sẽ còn tiếp tục giảm. Riêng với server của Google DNS hay OpenDNS thì cần phải bật open resolver nhưng chỉ các public service này là cần thiết còn các DNS server khác như của ISP thì không nên.

» Tin mới nhất: