ENISA hekelt isp's die te laks zijn om hun netwerk te filteren en zo DNS-amplificatie aanvallen mogelijk maken. Dit naar aanleiding van de grootste DDoS-aanval ooit, die op spambestrijder Spamhaus, die een datavloed van 300 Gigabit per seconde bereikte.

Dit was een zogenaamde DNS-amplificatie aanval. De aanvallers stuurden hiermee valse DNS-aanvragen naar duizenden DNS-servers op het internet, die afkomstig leken van Spamhaus. De ontelbare DNS-servers stuurden vervolgens hun antwoord automatisch terug, maar dus naar de servers van Spamhaus. Aangezien de DNS-antwoorden (response) vele malen groter zijn dan de vragen (query), werd het verkeer richting Spamhaus op die manier vermenigvuldigd, met permanente opstopping tot gevolg.

Filteren op foute pakketjes

Het is relatief eenvoudig om deze aanvallen te voorkomen, en deze bescherming is al minstens dertien jaar bekend. Isp's dienen hun binnenkomende verkeer te filteren, zodat er geen pakketjes met valse afzender verder kunnen. Dit heet Ingress filtering en staat bekend als Best Current Practice 38 (BCP38).

ENISA sluit zich met het advies om BCP38 te implementeren aan in een lange rij. Het probleem is echter dat isp's zelf weinig baat hebben van Ingress filtering, het voorkomt alleen een amplificatieaanval op een ander netwerk. En dus doen talloze internetproviders- en hosters nog niets op dit gebied.

Een tweede aanbeveling is het uitschakelen van open recursive nameservers. Die hebben hun nut bewezen toen het internet nog jong was en de relaties tussen providers hecht, maar ze vormen nu een securityrisico. Beheerders van DNS-servers moeten hun nameservers dichttimmeren volgens de regels van een andere Best Current Practice, BCP140, raadt ENISA aan.

Zo snel mogelijk uitrollen

“Netwerk operators die nog BCP38 and BCP140 moeten implementeren zouden dit zonder verder uitstel moeten doen, anders zijn hun klanten, en hun reputatie de klos", aldus Udo Helmbrecht, ENISA's Executive Director.

ENISA stipt overigens ook nog de BGP-kaping aan, die gelijktijdig met de DDoS plaatsvond vanuit het netwerk van CB3ROB van de Nederlander Sven Kamphuis, zoals door Greenhost werd ontdekt. Over dit fenomeen geeft het security-agentschap geen adviezen.