27-03-06 11:34
Loša konfiguracija DNS-a omogućava distribuirani napad
piše ACO DMITROVIĆ
Oko 1500 organizacija napadnuto je distribuiranim napadom uskraćivanjem resursa (DDoS), koji je trajao od 3. siječnja do polovine veljače ove godine, objavila je nedavno tvrtka VeriSign.
Napadači su iskoristili tisuće osvojenih računala, takozvane "zombije", koji su izveli napad šaljući "bujice" besmislenih rekurzivnih upita DNS poslužiteljima koji nisu dobro konfigurirani. Nažalost, velika većina DNS servera, po nekim procjenama čak 80%, dopušta da ih za rekurzivne upite koriste računala izvan njihove domene. To znači da administratori koriste podrazumijevanu konfiguraciju, koja omogućava da bilo tko s interneta pošalje upit o domenama za koje upitani DNS poslužitelj nije autoritativan.
Sjećamo se davnih dana kada mail serveri nisu tzv. relay ograničavali na računala koja opslužuju, pa su se mogli zloupotrebljavati za slanje spama. Čini se da je krajnje vrijeme da se administratori pobrinu i za zaštitu DNS-a, odnosno da se paket bind počne isporučivati s "konzervativnijom" konfiguracijom, kako zaštita ne bi ovisila o znanju sistemskih administratora.
Zamolili smo našeg stručnjaka za DNS, Dinka Korunića, da sistemcima savjetuje što uraditi da DNS serveri naših ustanova ne budu iskorišteni za takvu vrstu napada.
Više o dugotrajnom napadu koji je skrenuo pažnju na slabosti DNS-a pročitajte ovdje:
http://www.computerworld.com/securitytopics/security/hacking/story/0,10801,109631,00.html?source=NLT_BNA&nid=109631
Dinkov savjet o sigurnoj konfiguraciji binda potražite u članku Nedostaci rekurzivnih DNS upita.
|
