Een groot aantal DNS-servers in Nederland staat open en kan zodoende door cybercriminelen worden gebruikt bij het uitvoeren van grootschalige DDoS-aanvallen, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid.

De organisatie heeft een factsheet gepubliceerd waarin het netwerkbeheerders tips geeft om DDoS-aanvallen die DNS-amplificatie gebruiken te voorkomen. De afgelopen maanden vonden er verschillende grote DDoS-aanvallen plaats die DNS-amplificatie gebruikten, zoals op de anti-spamorganisatie Spamhaus.

Verkeer

Bij DNS-amplificatie maakt de aanvaller misbruik van niet-afgeschermde DNS-servers, zogeheten open DNS-resolvers, die hij via internet kan bereiken. DNS-servers worden onder andere gebruikt om domeinnamen naar IP-adressen te vertalen. De aanvaller kan de open DNS-resolver grote hoeveelheden verkeer laten sturen naar het doelwit van de DDoS-aanval.

In het geval de aanvaller over een bandbreedte van 100 Mb/s beschikt, kan dit via DNS-amplificatie worden versterkt tot 5 Gb/s. Als een aanvaller een botnet van 100 pc’s gebruikt die elk een bandbreedte van 1 Mb/s hebben, is dat voldoende om een bedrijfswebsite uit de lucht te halen. Ondanks het risico staat er in Nederland een "aanzienlijke hoeveelheid" DNS-servers open, stelt het NCSC.

Hoofdrol

"Beheerders van een open DNS-resolver spelen een hoofdrol in het voorkomen van aanvallen met DNS-amplificatie zo laat de overheidsinstantie weten. Als beheerders hun DNS-servers afschermen, wordt aanvallers de mogelijkheid ontnomen om een aanval via die DNS-servers uit te voeren.

In de nu gepubliceerde factsheet worden stappen beschreven die een netwerkbeheerder kan ondernemen om te voorkomen dat zijn systemen onbedoeld meewerken aan het uitvoeren van een DDoS-aanval met DNS-amplificatie.