Briga entre sites mostra novo ataque que explora bug em servidores DNS

IDG News Service/ EUA
05/02/2009 - 13h13
São Francisco - Após site tentar derrubar rival, descobriu-se potencial do ataque DNS Amplification, que provoca congestionamento de tráfego.

Uma ‘rixa’ entre dois sites de pornografia mostrou como pode ser explorada uma falha desconhecida no Domain Name System (DNS) da internet.

O ataque é conhecido como DNS Amplification (extensão do DNS) e tem sido usado esporadicamente desde dezembro do ano passado. Ele tomou dimensão, contudo, apenas quando o provedor de internet ISPrime começou a seguir um ataque de ‘distributed denial of service’ (DDOS). Um site pornô tentava derrubar o rival.

O ataque durou um dia inteiro e tinha poucos PCs gerando um grande número de tráfego na rede. Um dia após o primeiro ataque, um similar ocorreu e durou três dias. Antes da ISPrime filtrar o tráfego indesejado, os crackers conseguiram usar cerca de 5 GB por segundo da banda da empresa.

O provedor conseguiu eliminar o tráfego, mas segundo o diretor de inteligência de ameaças da SecureWorks, Don Jackson, ainda é possível ver muito uso da prática de DNS Amplification.

Segundo ele, na semana passada, operadores de botnets incluíram ferramentas de extensão do DNS às suas redes.

Em um ataque de DNS Amplification, um pequeno pacote, de 17 bytes, enviado a um servidor DNS, permite que este servidor seja enganado para enviar muito mais dados - cerca de 500 bytes, por exemplo - para a vítima do ataque.

Jackson estima que a invasão da ISPrime que usou 5 GB por segundo tenha sido feita com apenas 2 mil computadores, pelo envio de pacotes para milhares de servidores legítimos, que congestionaram a rede do provedor.

A ISPrime afirma que aproximadamente 750 mil servidores DNS legítimos foram usados no ataque.

A SecureWorks já produziu uma análise técnica sobre o truque de DNS Amplification.

Robert McMillan, editor do IDG News Service, de São Francisco