DNS-reflectie of amplificatie blijft veruit de meest gebruikte methode van kwaadwillenden om sites en diensten plat te krijgen. Dat komt omdat niet alleen veel DNS-servers fungeren als open resolver, maar ook talloze thuisrouters. In totaal zijn meer dan 24 miljoen van deze consumentenrouters kwetsbaar voor DNS-aanvallen, meldt netwerksecuritybedrijf Nominum. In één maand werden ruim 5,3 miljoen thuisrouters ook daadwerkelijk misbruikt voor dergelijke aanvallen.

Reflectie en amplificatie

DNS-amplificatie of reflectie is al ruim tien jaar bekend en vereist weinig vuurkracht voor maximale schade. Het maakt misbruik van twee kwetsbaarheden in het DNS-systeem. Ten eerste kun je eenvoudig de afzender van een DNS-query spoofen, waardoor het antwoord wat de DNS-servers terugsturen in werkelijkheid naar het doelwit gaat. Dit is de reflectie.

Ten tweede de amplificatie: queries kunnen piepklein zijn, zo'n 64 bytes, terwijl het gekaatste antwoord richting doelwit tot wel 4000 bytes kan zijn. Een amplificatiefactor van maar liefst 60. Elke kogel wordt zo een bom.

Router wordt zombie proxy

Bij deze aanval zijn dus ook veel routers te misbruiken, die dan fungeren als een soort zombie proxy's. Vorig jaar bleek dat circa 100.000 modems van Online-klanten konden worden misbruikt als open resolver voor amplificatieaanvallen. Onder meer SurfNet waarschuwde recentelijk voor deze kwetsbaarheid en biedt een test op OpenResolver.nl.

Weergave van DNS-reflectieaanval via thuisrouters. Bron: Nominum