Suomalaisia nimipalvelimia käytetty palvelunestohyökkäyksen toteuttamiseen

Rekursiivisia kyselyitä sallivia nimipalvelimia on käytetty palvelunestohyökkäyksen toteuttamiseen. CERT-FI:n tietojen mukaan hyökkäyksessä on maailmanlaajuisesti ollut mukana noin 176 000 nimipalvelinta, joista Suomessa on ollut noin sata. CERT-FI:n tiedossa ei ole, että hyökkäyksessä olisi ollut kohteena suomalaisia verkkoja.

Internet-nimipalvelujärjestelmä (DNS) tarjoaa maailmanlaajuisen hajautetun osoitetietokannan verkkotunnusten ja osoitteiden välisiä muunnoksia varten. Järjestelmään liitettyjä, liian avoimeksi määriteltyjä nimipalvelimia voidaan käyttää palvelunestoon tähtäävän haittaliikenteen tuottamiseen. Väärennetyllä lähdeosoitteella varustettu ja tietyllä tavalla muotoiltuun tietueeseen kohdistettu kysely tuottaa kyselyviestiä huomattavasti suuremman vastaussanoman.

Lähettämällä pyyntö suurelle joukolle rekursiivisen kyselyliikenteen sallivia nimipalvelimia saadaan aikaan väärennettyyn osoitteeseen huomattava määrä ei-toivottua vastaussanomaliikennettä.

Suomalaisten palvelinten ylläpitäjille on ilmoitettu tapahtuneesta joko suoraan tai verkko-operaattorin välityksellä. Hyökkäykseen osallistuneille nimipalvelimille aiheutunut kuorma ei ole välttämättä oleellisesti poikennut tavanomaisesta.

Vastaavan hyökkäyksen käynnistämisen suomalaisista verkoista ei olisi mahdollista, koska Viestintäviraston määräyksen 13/2005 M neljäs pykälä velvoittaa teleyritykset suodattamaan sellainen asiakasliittymästä viestintäverkkoon suuntautuva liikenne, jonka lähdeosoite ei ole kyseiselle asiakasliittymälle osoitettu.

Varoituksen kohderyhmä

  • Nimipalvelinten ylläpitäjät

Ratkaisu- ja rajoitusmahdollisuudet

Nimipalvelimen ei tulisi sallia rekursiivisia kyselyjä oman palvelualueen ulkopuolisilta. Nimipalvelimen hyväksikäytön voi estää hyväksymällä ainoastaan omasta verkosta tulevat rekursiiviset kyselyt.

Lisätietoa

Alla olevissa US-CERT:in ja Team Cymrun dokumenteissa on teknisiä ohjeita nimipalvelinten turvallisiin asetuksiin.

  • http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
  • http://www.auscert.org.au/render.html?it=80
  • http://www.cert-in.org.in/training/1stmay06/dotIN-DNS-DDoS.pdf
  • http://www.cymru.com/Documents/secure-bind-template.html
  • http://www.icann.org/committees/security/dns-ddos-advisory-31mar06.pdf
CERT-FI on käsitellyt aihetta tietoturvakatsauksissa 4/2005 ja 1/2006

    Päivityshistoria

    Asiasanat: Tietoturva , Varoitukset

    LinkedIn Print

    Yhteystiedot

    logo

    Viestintävirasto

    Kyberturvallisuuskeskus

    PL 313, 00181 Helsinki


    Mediayhteydenotot puhelimitse 0295 390 248