Open DNS resolvers kunnen eenvoudig worden misbruikt voor grootschalige DDoS-aanvallen middels zogenaamde DNS-amplificatie of -reflectie, zoals gebeurde bij de ‘grootste DDoS-aanval ooit’ afgelopen voorjaar op spambestrijder Spamhaus.

Draaien open resolvers een overtreding

Niet geheel verrassend dat daarom juist deze organisatie nu pleit voor strenge aanpak van dit probleem, dat veelal onwetendheid en luiheid als oorzaak heeft. Als beheerders na te zijn gewaarschuwd niet hun DNS resolvers dichttimmeren, dan zouden ze een boete moeten krijgen, vindt Richard Cox van Spamhaus.

“Als ze eenmaal weten dat het gebruikt kan worden voor aanvallen en fraude, is het een overtreding”, aldus Cox tegen PCPro. “Je zou een boete moeten krijgen, vergelijkbaar met een boete voor fout parkeren, zodat de kosten van de boete groter worden dan de moeite om het te fixen. Als we [de Britten] een redelijke wet introduceren, volgen andere landen waarschijnlijk wel.”

Volgens het OpenResolverProject zijn momenteel zo’n 28 miljoen DNS-servers kwetsbaar voor een amplificatieaanval, waarbij de afzender wordt gespooft.

Open resolver kan ook veilig

Voor beheerders die bewust open resolvers draaien is deze kwetsbaarheid overigens ook op andere manieren de kop in te drukken, bijvoorbeeld met DNSSEC, of door het beperken van het aantal queries (rate limiting). Daarnaast is het al 10 jaar best practice om de herkomst van alle IP-pakketjes op het netwerk te controleren middels zogenaamde ingress filtering. Eerder dit jaar waarschuwde ook de Europese security-organisatie ENISA voor DNS-laksheid bij isp's.