Først den gode nyhed: DNS-rodserverne formåede at modstå to usædvanligt kraftige angreb inden for to døgn den 30. november og 1. december. Den dårlige nyhed er, at angrebet trods alt var massivt nok til at forårsage kortvarige forstyrrelser, og ingen aner hvem der stod bag, eller hvorfor DNS-netværket blev udsat for angrebet.
I en foreløbig hændelsesrapport fra Root Server-Operatørerne er konklusionen, at det er 'urealistisk at spore trafikken', fordi den ramte DNS-systemet flere steder samtidig.
DNS er i dag sat op med IP-teknologien Anycast, som betyder, at hver server kan bestå af mange forskellige fysiske maskiner, og en forespørgsel vil altid blive dirigeret hen til den maskine, der er tættest på afsenderen både geografisk og målt på svartid.
»Man kan spoofe afsenderadressen, men routingen vil altid gå til den nærmeste server. Derfra kan man følge det 'spike', der vil være i trafikken, til internetudbyderen,« siger Version2-blogger med forstand på netværkssikkerhed og direktør i Solido Networks, Henrik Kramshøj.
I angrebene den 30. november og 1. december blev DNS-systemet imidlertid angrebet mange steder samtidig. Ifølge hændelsesrapporten bestod trafikken af valide DNS-forespørgsler på ét bestemt domæne. Angrebet toppede med op mod fem millioner forespørgsler pr. sekund.
Forespørgslerne blev sendt til de fleste af de 13 DNS-rodservere, der er navngivet A-M, og hver især blev de angrebet ved flere Anycast-punkter.
Anycast blev taget i brug for netop at forhindre DDoS-angreb mod rodserverne og betyder, at eksempelvis L-serveren er spejlet i 128 forskellige datacentre i 127 byer i 68 lande, skriver sikkerhedsblogger Paul Ducklin fra Sophos.
Kombinationen af at have 13 rodservere, der hver især består af mange servere spredt over hele internettet, og Anycast gør DNS-rodserverne ekstremt modstandsdygtige. Kommercielle tjenester som Cloudflare, der er oprettet for at sikre mod både ondsindede og utilsigtede DDoS-situationer, benytter sig også af Anycast.
DNS-systemet registrerede timeouts af valide DNS-forespørgsler på flere lokaliteter under angrebene, og eksempelvis oplevede RIPE afbrydelser på flere af K-serverens Anycast-lokaliteter.
Ifølge RIPE blev der iværksat modforanstaltninger, da det andet angreb begyndte om morgenen den 1. december. Det første angreb varede cirka tre timer, mens det andet stoppede efter én time.
Forespørgsler til DNS-servere sendes videre
For slutbrugerne har angrebet ikke haft mærkbare konsekvenser. Hvis den server, der normalt skulle besvare en forespørgsel, ikke svarer inden for tidsfristen, kan forespørgslen sendes videre.
Da normale DNS-forespørgsler er relativt små, vil et angreb mod DNS skulle ramme en så stor del af DNS, at den resterende del ikke kan følge med.
DNS-rodserverne modtager desuden ikke alle DNS-opslag, men bruges primært til at vedligeholde opdaterede DNS-opslag på lokale servere hos eksempelvis internetudbyderne. Derfor skal et angreb mod DNS skulle vare ved så længe, at den lokale DNS-information når at udløbe.
»Det er et dårligt sted at angribe. Bare der slipper nogle enkelte forespørgsler igennem, så holder systemet ret længe,« siger Henrik Kramshøj.
De to angreb foregik over internetprotokollen UDP, og afsenderne angav afsender-IP-adresser, der tilsyneladende var fordelt tilfældigt over hele IPv4-adresseområdet.
Root Server-operatørerne anbefaler i deres hændelsesrapport, at netværksoperatører anvender Source Address Validation eller BCP-38 (ingress filtering) til at sikre, at forespørgsler kommer fra de IP-adresser, de hævder at være sendt fra.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
