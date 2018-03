De Dyn-aanval trok veel grote websites voor een groot deel van de dag offline, inclusief Twitter, PayPal, Netflix, Reddit en Amazon. Miljoenen overgenomen internetverbonden apparaten in het botnet Mirai werden ingezet om de DNS-diensten van Dyn plat te leggen met tot aan 1,2 Tbps aan verzoeken, waardoor het onmogelijk wordt om aan echte DNS-verzoeken te voldoen.

Memcached-aanvallen

Dat was nog maar een voorproefje, want nieuwe methodes zorgen voor een capaciteit die 50.000 maal hoger is, zo meldde netwerkbedrijf en DDoS-specialist Arbor Networks dinsdag in een verontrustend rapport. Hiervoor wordt nu al in het wild populaire servertool memcached misbruikt. Die cachesoftware wordt door veel websitebeheerders gebruikt en levert nu al 500 Gbps-aanvallen op, terwijl minder dan 6000 van de in totaal 88.000 kwetsbare servers wordt gebruikt.

Cloudflare verwacht dat we hier de komende weken al de wrange vruchten van plukken, met regelmatige aanvallen die met gemak de een terabit per seconde voorbij schieten. Dat maakt de Dyn-aanvalscapaciteit de nieuwe norm, in plaats van een excessieve uitzondering. Toevallig waarschuwden onderzoekers van Harvard onlangs voor een wereld waarbij grootschalige DDoS aan de orde van de dag is.

Appeltje te schillen

De aanvallers waren toen geen geavanceerde staatsaanvallers die een ontwrichtende aanval openen op de infrastructuur van een vijand, maar waarschijnlijk een doorsnee slechterik die een appeltje te schillen had. De aanval volgde namelijk kort op een DDoS van hetzelfde botnet op de site van securityjournalist Brian Krebs. Dyn had Krebs geholpen de twee Israëlische daders te achterhalen die DDoS te huur aanboden. Prompt werd ook Dyn aangevallen en daardoor kraakte een flink stuk van het internet.

Dat onbeveiligde IoT-apparaten massaal worden gekocht en aangesloten zonder patchmogelijkheden is breed bekend, maar dat slechte serverconfiguraties en de centralisatie van DNS voor een groter probleem zorgen, is iets wat extra aandacht verdient. Dat is de les die we kunnen trekken uit de berichten van Arbor Networks, Harvard en Cloudflare.

Als een SPoF faalt

DNS is ontworpen om gedistribueerd te zijn, maar de auteurs van het Harvard-onderzoek merken op dat de toegenomen centralisatie een single-point-of-failure heeft opgeleverd. "Het succes van de Dyn-aanval onderstreept dat zelfs grote bedrijven kwetsbaar zijn geworden met een geconcentreerde DNS-aanbieders met maar weinig provider-diversificatie onder domeinbeheerders."

