Open DNS resolvers kunnen eenvoudig worden misbruikt voor grootschalige DDoS-aanvallen middels zogenaamde DNS-amplificatie of -reflectie, zoals gebeurde bij de ‘grootste DDoS-aanval ooit’ afgelopen voorjaar op spambestrijder Spamhaus.
Draaien open resolvers een overtreding
Niet geheel verrassend dat daarom juist deze organisatie nu pleit voor strenge aanpak van dit probleem, dat veelal onwetendheid en luiheid als oorzaak heeft. Als beheerders na te zijn gewaarschuwd niet hun DNS resolvers dichttimmeren, dan zouden ze een boete moeten krijgen, vindt Richard Cox van Spamhaus.
“Als ze eenmaal weten dat het gebruikt kan worden voor aanvallen en fraude, is het een overtreding”, aldus Cox tegen PCPro. “Je zou een boete moeten krijgen, vergelijkbaar met een boete voor fout parkeren, zodat de kosten van de boete groter worden dan de moeite om het te fixen. Als we [de Britten] een redelijke wet introduceren, volgen andere landen waarschijnlijk wel.”
Volgens het OpenResolverProject zijn momenteel zo’n 28 miljoen DNS-servers kwetsbaar voor een amplificatieaanval, waarbij de afzender wordt gespooft.