Japanse overheid adviseert router-update na DDoS-aanvallen
Het Japanse Ministerie van Binnenlandse Zaken en Telecom adviseert internetgebruikers om de firmware van hun router te updaten, zodat kwaadwillenden ze niet meer kunnen gebruiken voor het uitvoeren van DDoS-aanvallen. Aanvallen waar inmiddels miljoenen Japanners de dupe van zijn geworden.
De aanvallers die de DDoS-aanvallen uitvoeren maken gebruik van DNS-amplificatie. Bij DNS-amplificatie worden openstaande DNS-servers gebruikt om het verkeer naar de aangevallen websites of diensten te versterken. Ook de routers die Japanners thuis hebben staan zouden over kwetsbaarheden beschikken waardoor ze kunnen worden ingezet om het effect van een DDoS-aanval te versterken.
Sinds de lente van dit jaar zijn verschillende Japanse internetproviders het doelwit van deze aanvallen geworden, waardoor in totaal zo'n 4,8 miljoen Japanse huishoudens tijdelijk niet konden e-mailen of surfen, zo meldt de Japanse krant de Yomiuri Shimbun. Om welke routers het precies gaat wordt niet gemeld.
Als dit niet als aanwijsbare reden gegeven kan worden, is "No e-mail" en "No browsing" voor hen altijd de schuld van de ISP.
Peter
Kunnen ze ook niet worden misbruikt!
Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.
Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.
Dus wat is nu het probleem precies?
Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.
Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.
Dus wat is nu het probleem precies?
Wel,
Je kan met 1 query een volledige lijst van de DNS server krijgen. Dus 1 klein vraagje; heleboel data als antwoord.
En als ik dan een spoofed IP adres gebruik, met als IP mijn doelwit; dan krijg mijn doelwit al die data (waar hij niet om gevraagd heeft; maar wat wel bandbreedte opvreet). Je kan makkelijk 10 tot 100x meer data op die manier genereren om te gebruiken om je doelwit te DDOS-en als je meerdere DNS servers gebruikt die open staan voor deze aanval.
dus 1kb versturen -> 100 KB aan data voor de slachtoffer.
Dus ik kan in plaats van 1 directe aanval, die al mijn eigen bandbreedte opsnoept, beter dit gebruiken.
Tevens is dit moeilijker te filteren (niet onmogelijk) en gebruik je een man in the middle om je slachtoffer aan te vallen.
Blijf je zelf lekker buiten schot (of je botnet), want je ziet niet goed waar de aanval nu precies vandaan komt (dat kunnen alleen de DNS beheerders zien)
Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.
Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.
Dus wat is nu het probleem precies?
Wel,
Je kan met 1 query een volledige lijst van de DNS server krijgen. Dus 1 klein vraagje; heleboel data als antwoord.
En als ik dan een spoofed IP adres gebruik, met als IP mijn doelwit; dan krijg mijn doelwit al die data (waar hij niet om gevraagd heeft; maar wat wel bandbreedte opvreet). Je kan makkelijk 10 tot 100x meer data op die manier genereren om te gebruiken om je doelwit te DDOS-en als je meerdere DNS servers gebruikt die open staan voor deze aanval.
dus 1kb versturen -> 100 KB aan data voor de slachtoffer.
Dus ik kan in plaats van 1 directe aanval, die al mijn eigen bandbreedte opsnoept, beter dit gebruiken.
Tevens is dit moeilijker te filteren (niet onmogelijk) en gebruik je een man in the middle om je slachtoffer aan te vallen.
Blijf je zelf lekker buiten schot (of je botnet), want je ziet niet goed waar de aanval nu precies vandaan komt (dat kunnen alleen de DNS beheerders zien)
Hoe kom je aan 100 kB data? Over welke query heb je het precies?
Als DNS beheerder zet je natuurlijk zone transfers uit. Je moet feitelijk moeite doen om het aan te zetten. Of hebben ze in Japan een DNS server die het standaard aan heeft staan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
