image

Japanse overheid adviseert router-update na DDoS-aanvallen

zondag 3 augustus 2014, 12:51 door Redactie, 7 reacties

Het Japanse Ministerie van Binnenlandse Zaken en Telecom adviseert internetgebruikers om de firmware van hun router te updaten, zodat kwaadwillenden ze niet meer kunnen gebruiken voor het uitvoeren van DDoS-aanvallen. Aanvallen waar inmiddels miljoenen Japanners de dupe van zijn geworden.

De aanvallers die de DDoS-aanvallen uitvoeren maken gebruik van DNS-amplificatie. Bij DNS-amplificatie worden openstaande DNS-servers gebruikt om het verkeer naar de aangevallen websites of diensten te versterken. Ook de routers die Japanners thuis hebben staan zouden over kwetsbaarheden beschikken waardoor ze kunnen worden ingezet om het effect van een DDoS-aanval te versterken.

Sinds de lente van dit jaar zijn verschillende Japanse internetproviders het doelwit van deze aanvallen geworden, waardoor in totaal zo'n 4,8 miljoen Japanse huishoudens tijdelijk niet konden e-mailen of surfen, zo meldt de Japanse krant de Yomiuri Shimbun. Om welke routers het precies gaat wordt niet gemeld.

Image

Reacties (7)
03-08-2014, 16:44 door Anoniem
Het probleem is dat stukje "Other users". Veel mensen blijken bij een melding van een open resolver, NTP server die monlist ondersteunt en zelfs open SNMP servers het te veel moeite te vinden om iets aan hun configuratie of versie te doen. Een aantal blijken pas iets te willen doen als ze er aanwijsbaar zelf last van hebben.

Als dit niet als aanwijsbare reden gegeven kan worden, is "No e-mail" en "No browsing" voor hen altijd de schuld van de ISP.

Peter
04-08-2014, 02:27 door Anoniem
Is het mogelijk om de routers simpelweg uit te zetten wanneer ze langere tijd niet worden gebruikt.
Kunnen ze ook niet worden misbruikt!
04-08-2014, 09:34 door Anoniem
Een DNS server die data "versterkt"?

Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.

Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.

Dus wat is nu het probleem precies?
04-08-2014, 13:06 door Anoniem
Door Anoniem: Een DNS server die data "versterkt"?

Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.

Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.

Dus wat is nu het probleem precies?

Wel,

Je kan met 1 query een volledige lijst van de DNS server krijgen. Dus 1 klein vraagje; heleboel data als antwoord.
En als ik dan een spoofed IP adres gebruik, met als IP mijn doelwit; dan krijg mijn doelwit al die data (waar hij niet om gevraagd heeft; maar wat wel bandbreedte opvreet). Je kan makkelijk 10 tot 100x meer data op die manier genereren om te gebruiken om je doelwit te DDOS-en als je meerdere DNS servers gebruikt die open staan voor deze aanval.

dus 1kb versturen -> 100 KB aan data voor de slachtoffer.

Dus ik kan in plaats van 1 directe aanval, die al mijn eigen bandbreedte opsnoept, beter dit gebruiken.
Tevens is dit moeilijker te filteren (niet onmogelijk) en gebruik je een man in the middle om je slachtoffer aan te vallen.
Blijf je zelf lekker buiten schot (of je botnet), want je ziet niet goed waar de aanval nu precies vandaan komt (dat kunnen alleen de DNS beheerders zien)
04-08-2014, 15:15 door EKTB - Bijgewerkt: 04-08-2014, 15:16
[Verwijderd]
04-08-2014, 18:21 door Anoniem
Door Anoniem:
Door Anoniem: Een DNS server die data "versterkt"?

Het is mogelijk UDP packets te manipuleren zodat een antwoord naar een ander IP adres wordt gestuurd, maar dat is weinig zinvol ten opzichte van een directe aanval, waarbij veel meer data kan worden verzonden naar het doel. DNS packets zijn sowieso klein bier.

Gebruik van open name servers is in helemaal niets bijzonder, dus dat kan het niet zijn.

Dus wat is nu het probleem precies?

Wel,

Je kan met 1 query een volledige lijst van de DNS server krijgen. Dus 1 klein vraagje; heleboel data als antwoord.
En als ik dan een spoofed IP adres gebruik, met als IP mijn doelwit; dan krijg mijn doelwit al die data (waar hij niet om gevraagd heeft; maar wat wel bandbreedte opvreet). Je kan makkelijk 10 tot 100x meer data op die manier genereren om te gebruiken om je doelwit te DDOS-en als je meerdere DNS servers gebruikt die open staan voor deze aanval.

dus 1kb versturen -> 100 KB aan data voor de slachtoffer.

Dus ik kan in plaats van 1 directe aanval, die al mijn eigen bandbreedte opsnoept, beter dit gebruiken.
Tevens is dit moeilijker te filteren (niet onmogelijk) en gebruik je een man in the middle om je slachtoffer aan te vallen.
Blijf je zelf lekker buiten schot (of je botnet), want je ziet niet goed waar de aanval nu precies vandaan komt (dat kunnen alleen de DNS beheerders zien)

Hoe kom je aan 100 kB data? Over welke query heb je het precies?

Als DNS beheerder zet je natuurlijk zone transfers uit. Je moet feitelijk moeite doen om het aan te zetten. Of hebben ze in Japan een DNS server die het standaard aan heeft staan?
06-08-2014, 14:04 door Anoniem
Google maar eens op DNS amplification attack, deze site legt het redelijk simpel uit..... http://www.openminds.be/nl/blog/detail/dns-amplification-attacks-wat-is-het-en-wat-kan-ik-ertegen-doen (kopje: Hoe werkt zo'n amplification attack?)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.