Lue uutinen mobiilisivustolla

Cert-fi: 100 suomalaista nimipalvelinta dos-hyökkäyksessä

12.2.2007 16:26 Rekursiivisia kyselyitä sallivia nimipalvelimia on käytetty palvelunestohyökkäyksen toteuttamiseen. Cert-fi:n tietojen mukaan hyökkäyksessä on maailmanlaajuisesti ollut mukana noin 176 000 nimipalvelinta, joista Suomessa on ollut noin sata.

Viestintäviraston tietoturvayksikön, Cert-fi:n tiedossa ei ole, että hyökkäyksessä olisi ollut kohteena suomalaisia verkkoja.

Internet-nimipalvelujärjestelmä (dns) tarjoaa maailmanlaajuisen hajautetun osoitetietokannan verkkotunnusten ja osoitteiden välisiä muunnoksia varten. Järjestelmään liitettyjä, liian avoimeksi määriteltyjä nimipalvelimia voidaan käyttää palvelunestoon (denial of service) tähtäävän haittaliikenteen tuottamiseen.

Väärennetyllä lähdeosoitteella varustettu ja tietyllä tavalla muotoiltuun tietueeseen kohdistettu kysely tuottaa kyselyviestiä huomattavasti suuremman vastaussanoman.

Lähettämällä pyyntö suurelle joukolle rekursiivisen kyselyliikenteen sallivia nimipalvelimia saadaan aikaan väärennettyyn osoitteeseen huomattava määrä ei-toivottua vastaussanomaliikennettä.

Suomalaisten palvelinten ylläpitäjille on ilmoitettu tapahtuneesta joko suoraan tai verkko-operaattorin välityksellä. Hyökkäykseen osallistuneille nimipalvelimille aiheutunut kuorma ei ole välttämättä oleellisesti poikennut tavanomaisesta.

Vastaavan hyökkäyksen käynnistämisen suomalaisista verkoista ei olisi Cert-Fi:n mukaan mahdollista, koska Viestintäviraston määräyksen 13/2005 M neljäs pykälä velvoittaa teleyritykset suodattamaan sellainen asiakasliittymästä viestintäverkkoon suuntautuva liikenne, jonka lähdeosoite ei ole kyseiselle asiakasliittymälle osoitettu.

Nimipalvelimen ei tulisikaan sallia rekursiivisia kyselyjä oman palvelualueen ulkopuolisilta, Cert-fi ohjeistaa. Nimipalvelimen hyväksikäytön voi estää hyväksymällä ainoastaan omasta verkosta tulevat rekursiiviset kyselyt.

Alla olevissa linkeissä on muun muassa US-Certin ja Team Cymrun teknisiä ohjeita nimipalvelinten turvallisiin asetuksiin.

LISÄTIETOA/TIETOLÄHTEET:

http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
http://www.auscert.org.au/render.html?it=80
http://www.cert-in.org.in/training/1stmay06/dotIN-DNS-DDoS.pdf
http://www.cymru.com/Documents/secure-bind-template.html
http://www.icann.org/committees/security/dns-ddos-advisory-31mar06.pdf

Tuomas Karvonen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Putkirikko loi pienen järven Sörnäisten rantatielle – katso video
• Acta on kansainvälinen väärennössopimus
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Leijonat takoi ennätysnumerot T?ekistä