DNS-aanvalstactiek stof tot nadenken

Beveiligers moeten verder kijken dan dreiging platleggen naamservers

Het Domain Name System (DNS) is nodig om op internet de weg te vinden. Nu blijkt dat DNS-servers niet altijd zijn dichtgespijkerd en dus kwetsbaar zijn.

Niet nieuw, maar wel terug van weggeweest: het type internetaanval bekend als Distributed Reflector Denial of Service (DRDoS). Recent is dit type aanval gecombineerd met DNS-servers, maar in 2002 werden webservers al onderuit gehaald door DRDoS-aanvallen. Dit lot trof onder meer de site van beveiligingsexpert Gibson Research. De term reflector geeft aan dat een aanval wordt uitgevoerd (gereflecteerd) via een ander computersysteem. DNS is sinds jaar en dag een dankbaar object om als reflector te fungeren.

Een naamserver kan namelijk misbruikt worden om grote hoeveelheden data te genereren waarmee het doel wordt bestookt. Websites zijn daardoor (tijdelijk) onbereikbaar voor internetgebruikers. De naamserver zelf heeft slechts beperkt last van dergelijke aanvallen. Een DRDoS-aanval met DNS vereist weinig kennis; het versturen van forse hoeveelheden verzoeken vanaf een vervalst (spoofed) adres is voldoende. De capaciteit van de aanval is verder te vergroten door de gekaapte pc’s van argeloze thuisgebruikers in te zetten als bots.

Overnemen

De overheid is er van doordrongen dat naamservers kwetsbaar zijn. Er gaan dan ook stemmen op om de DNS-servers tijdens een calamiteit over te nemen, aangezien de bereikbaarheid van internet belangrijk is voor zakelijk Nederland. Alex Bik van zakelijk internetaanbieder BIT ziet hier weinig heil in: “Het ontbreekt de overheid aan kennis en middelen om in geval van een calamiteit DNS-taken over te nemen.”

Het SIDN (Stichting Internet Domeinregistratie Nederland) beheert vier van de zeven primaire naamservers voor het .nl-domein. Deze fungeren als bron voor alle andere DNS-servers in Nederland. In Amsterdam staan hiervoor een aantal primaire systemen, beheerd door Verisign, die gespiegeld staan in onder meer Londen.

Raymond Dijkxhoorn van hostingaanbieder Prolocation: “Tot nu toe heeft nog niemand dit type aanval grootschalig in combinatie met DNS ingezet.” Hij noemt de recente DRDoS-aanvallen via DNS vooral een proof of concept: “Het geeft aan dat de kwetsbaarheid bestaat. DRDoS bestaat al geruime tijd en is een losstaand probleem. Omdat DNS een cruciaal onderdeel vormt van het internet, is een serieus onderzoek naar een oplossing noodzakelijk.”

Dijkxhoorn bespeurt wel een gevaarlijke trend: “Dit maakt wel duidelijk dat aanvalsdoelen verschuiven van websites naar de infrastructuur zelf. Overigens is een DNS-server goed te beveiligen en kan een solide systeem worden gecreëerd.”

Cachen en dichttimmeren

Een complete uitval van het DNS is echter onwaarschijnlijk. De primaire naamservers zijn extreem goed beveiligd. Bovendien is er ook opvang, stelt Bik: “ISP’s cachen de opgevraagde informatie van root naamservers. Die cache zorgt ervoor dat populaire (veel opgevraagde) sites zonder primaire naamservers toch bereikbaar blijven.”

“Er ontstaan pas echte problemen wanneer bedrijven met te weinig technische kennis zelf DNS-servers aan het internet koppelen; dat levert vaak slecht beveiligde systemen op. De meeste isp’s hebben de toegang tot hun naamservers al geruime tijd beperkt. BIT doet dit al jaren; onze DNS-servers zijn volledig dichtgezet.”

DRDoS is dus een op zichzelf staand probleem, maar maakt wel duidelijk dat DNS nog altijd een dankbaar object is voor hackers. De enige remedie is het dichtspijkeren van naamservers.

De aandacht is momenteel echter vooral gericht op bots en botnetten. De industrie probeert eindgebruikers bewuster te maken, maar zodra dat is bereikt kan de DRDoS-aanval wel weer eens van stal worden gehaald.