ISC opent crisiscentrum tegen toekomstige aanval op DNS

Het Internet Software Consortium (ISC) opent een coördinatiecentrum met als doel beter om te kunnen gaan met toekomstige aanvallen op de root-servers van het DNS-systeem. Het crisiscentrum dat 'Operations, Analysis and Research Center' (OARC) gedoopt is, wordt opgericht naar aanleiding van de aanvallen in oktober vorig jaar waarbij zeven van de dertien root-servers onderuit gingen. Het is de bedoeling dat men in het nieuwe centrum nauwkeurig het internetverkeer gaat bestuderen, zodat men tijdig een intensivering door een attack kan onderscheiden van normale pieken in het dataverkeer. Nu de basis gelegd is, zoekt men honderd tot vijfhonderd gekwalificeerde mensen uit de IT-wereld om plaats te nemen in het centrum. Onder andere Cisco Systems heeft zijn medewerking al toegezegd.

Internet Software Consortium ISC (logo)Ram Mohan van Afilias, een andere deelnemer aan het project, liet weten dat het OARC een testlaboratorium zal opzetten waar onderzoekers grote aanvallen op de DNS-servers kunnen simuleren. Op die manier kunnen ze dan zoeken naar oplossingen ervoor. Uiteindelijk hoopt ISC dat OARC een organisatie gaat worden waarin toplevel domein-operators, datacenters, commerciële DNS-aanbieders, onderzoekers en overheidsbeambten samenwerken aan de stabiliteit van internet. Volgens de voorzitter van ISC, Paul Vixie, is het voor het eerst dat er zo grondig gekeken wordt naar de veiligheid van de het DNS-systeem:

Internet algemeenBefore the root server attacks, when all 13 of the Internet's root DNS servers were hit by intruders in a massive distributed denial-of-service attack, there was no group set up to protect the DNS system globally, Vixie said. "It's like having a child and seeing them grow up and suddenly they go to college, then wondering how it happened so fast."

Door Henk-Jan de Boer

Feedback • 22-10-2003 12:19 37

22-10-2003 • 12:19

37

Bron: Computerworld

Lees meer

VS willen controle over DNS-rootservers houden
VS willen controle over DNS-rootservers houden Nieuws van 1 juli 2005
DNS-vervuiling 'pharming' nieuwe trend onder oplichters
DNS-vervuiling 'pharming' nieuwe trend onder oplichters Nieuws van 3 april 2005
OESO wil veiling van topleveldomeinen
OESO wil veiling van topleveldomeinen Nieuws van 16 juli 2004
'Veel Nederlanders rekenen op grote aanslag via internet'
'Veel Nederlanders rekenen op grote aanslag via internet' Nieuws van 22 oktober 2003
DNS viert twintigste verjaardag
DNS viert twintigste verjaardag Nieuws van 23 juni 2003
Uitvinder DNS pleit voor beveiligingsverbeteringen
Uitvinder DNS pleit voor beveiligingsverbeteringen Nieuws van 12 april 2003
Opnieuw DDoS-aanval op DNS-systeem
Opnieuw DDoS-aanval op DNS-systeem Nieuws van 26 november 2002
Internet weerstaat grootste DDoS aanval ooit
Internet weerstaat grootste DDoS aanval ooit Nieuws van 23 oktober 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (37)

-Moderatie-faq
37
37
25
11
4
11
Wijzig sortering
Weppel 22 oktober 2003 12:28
Dat ze 500 man nodig hebben om te besluiten meer root servers in te zetten... komop zeg. Het complete internetverkeer laten afhangen van 13 servers... een beetje achterhaald niet?

Zet er bijvoorbeeld eens 100 in... dan merkt de wereld het niet eens als er 10 geddossed worden.

Of ga ik nou écht te kort door de bocht?
Countess @Weppel22 oktober 2003 12:39
het hangt ook niet af van die 13 servers. teminste niet direct. ze moeten langere tijd allemaal onderuit liggen will het echt effect hebben.
elke ISP heeft namelijk zijn eigen DNS server staan, alleen als die servers het niet weet gaat hij naar de root server om te vragen waar welke IP bij dat address hoort, en dat komt eigenlijk alleen voor bij nieuwe DNS entrys, of als een entry verlopen is (hoe vaak er ververst word hangt van je ISP af, maar als hij geen andwoord krijgt van de root server kan hij zijn oude info gewoon blijven gebruiken natuurlijk).

dus eigenlijk staan er duizende DNS servers. maar er zijn dus 13 uber servers die het altijd weten.
smaij @Weppel22 oktober 2003 12:39
Idd kort door de bocht.. Die servers kosten een vermogen en het zijn niet de simpelste pc's op aarde.. En daarnaast zijn het alleen maar root DNS servers. Heb jij er iets van gemerkt? Ik niet
Zeven of acht van deze servers vielen uit, wat net voldoende was voor een kleine merkbare vertraging in bepaalde regio's van het internet.
Om er nou meteen 100 te gaan plaatsen is weer overdreven en nogal kostbaar. Ze zijn al nood root servers aan het opzetten. Afrika kreeg zijn eigen root server las ik laatst, dus in ieder geval 1tje erbij :)
Countess @smaij22 oktober 2003 12:43
Om er nou meteen 100 te gaan plaatsen is weer overdreven en nogal kostbaar.
en 500 IT specialisten aan laten rukken niet dan?

ik ben het met je eens dat 100 servers neer zetten overdreven is, maar de 'oplossing' die ze nu hebben is ook niet goedkoop natuurlijk
smaij @Countess22 oktober 2003 12:47
Het zijn over het algemeen denk ik mensen uit de bedrijfswereld, en dus verdeeld over een aantal bedrijven die samen dit gaan doen. De totale kosten worden dus verdeeld. Ik denk eigenlijk ook niet dat het fulltime bezigheden zijn. Dat weet ik alleen niet met zekerheid natuurlijk :)
avon @smaij22 oktober 2003 13:48
En daarnaast zijn het alleen maar root DNS servers. Heb jij er iets van gemerkt? Ik niet
Op het moment was het zeker wel te merken!..
(Ja ik weet het nog als de avond van gisteren!)

DNS query's namen gewoon een langere tijd in beslag.
WarMode988 @Weppel22 oktober 2003 12:40
Ja, je gaat echt te kort door de bocht ;).

Enig idee hoeveel bandbreedte zo'n centrum heeft? Hoeveel dns aanvragen zullen er zijn per seconde :P
Verwijderd @Weppel22 oktober 2003 12:38
Die servers kosten ook niet niks, he ;)
Verwijderd 22 oktober 2003 12:25
Wat gaan ze dan precies doen ?

Gaan ze capaciteit van de deelnemers, zoals Cisco, gebruiken op het verlies van de aanval op te vangen?

In dat geval zou er ook een achterdeur voor een specifiekere aanval geboden worden, of zie ik dat verkeerd??
Verwijderd @Verwijderd22 oktober 2003 12:29
Het is de bedoeling dat men in het nieuwe centrum nauwkeurig het internetverkeer gaat bestuderen, zodat men tijdig een intensivering door een attack kan onderscheiden van normale pieken in het dataverkeer.
Verwijderd @Verwijderd22 oktober 2003 12:39
Thanx voor je reactie, maar dat bedoelde ik niet.

Ik vroeg me af hoe ze gaan reageren op een toekomstige aanval.
Als ze daar met 500 personen unaniem gaan constateren:
"Euh...tja, er zijn nu 7 van de 13 servers uitgevallen, dus we kunnen (denk ik :?) stellen dat er sprake is van een sterke verhoging van het internet verkeer"

Ik vroeg me af wat de toekomstige oplossing voor het probleem is als er sprake is van een aanval??
Verwijderd @Verwijderd22 oktober 2003 12:48
De truc is juist om, als een aanval begint, dit snel te waarnemen en zo maatregelen te nemen a la Microsoft met z'n WindowsUpdate.

Soort voorspelling van een aanval dus, om in te grijpen als de aanval net begint en dus nog niet krachtig genoeg is om schade te berokkenen.
Beaves @Verwijderd22 oktober 2003 13:02
De truc is juist om, als een aanval begint, dit snel te waarnemen en zo maatregelen te nemen a la Microsoft met z'n WindowsUpdate.
Wat MS deed met Windows Update kan nou net niet met een DNS server.

MS verplaatste de windowsupdate.com site naar een hoster met een zeer brede internetpijp waardoor er erg veel data ndoig was voordat er sprake zou zijn van een dDOS en ze haalde het record uit de DNS zodat de besmette PC's het doel niet konden vinden.

Laat dat nou net niet kunnen met DNS-rootservers aangezien die altijd via een IP worden aangesproken (een DNS server is er juist voor om bij de URL een IP te vinden). Dan blijft er een mogelijkheid over en dat is zorgen voor een zo breed mogelijke verbinding, hoe breder hoe lastiger dicht te krijgen met een dDOS.
Soort voorspelling van een aanval dus, om in te grijpen als de aanval net begint en dus nog niet krachtig genoeg is om schade te berokkenen.
Wat dan? De DNS-rootserver uitzetten? De range IP adressen die voor het extra verkeer zorgen blocken? Beide zijn niet echt handig, zeker met de tweede dupeer je een hoop mensen die er niets mee te maken hebben.

Tegen een dDOS valt gewoon weinig te doen, behalve een erg brede internetverbinding en het spreiden van risico, in dit geval dus meer rootservers.
Verwijderd @Verwijderd22 oktober 2003 15:37
De range IP adressen die voor het extra verkeer zorgen blocken?
Dat lijkt mij eigenlijk een prima methode. De ddos zal waarschijnlijk worden uitgevoerd door zombie-computers (die m.b.v. een trojan of virus gehacked zijn) en deze machines mogen dus gerust (tijdelijk) geblocked worden.
Verwijderd @Verwijderd22 oktober 2003 15:54
Ik bedenk me nu de volgende mogelijke (?!) oplossing:

Als de root-servers alleen geraadpleegd mogen worden door "gecertificeerde" DNS-servers. Dit zullen dan voornamelijk de ISP's zijn (xs4all, cistron, aol etc.). Voor "normale" PC's is er niet echt een reden om zelfstandig root-servers te benaderen.

Er zal dan wel een goede (geautomatiseerde)procedure moeten komen voor het registreren van DNS-servers zodat ook bedrijven en IT-hobbyisten een eigen (Internet-) DNS kunnen blijven draaien. Maar dan is de drempel iig al een stuk hoger voor DOS-attacks.
theXE @Verwijderd22 oktober 2003 17:21
Ben jij niet toevallig één van die vijfhonderd gekwalificeerde mensen uit de IT-wereld? :z
SPee 22 oktober 2003 13:16
Oplossing:
Laat de DNS servers van de providers ook met elkaar praten.
Elke major provider van een land weet waar per land een andere DNS server staat. Als een entry niet bekend is, dan vraagt hij het aan een root server. Geen antwoord binnen 3 seconden, dan vraagt hij het aan een buitelandse DNS collega.

Maarre.. what's the fuzz :?
Een trager internet van een paar seconden. Hoe erg is dat nou :? :? :?
arnob @SPee22 oktober 2003 13:37
Een trager internet van een paar seconden. Hoe erg is dat nou
Het gaat niet om 'het Internet' maar de dns servers die overbelast kunnen worden.
Overbelaste dns root servers = zeer beperkte name resolving (caching is er nog) = belangrijkste functionaliteit weg = Internet zo goed als weg
Kwai_gon_jinn @SPee22 oktober 2003 14:23
Nog een probleem is.. dat er geen "standaard" DNS query protocol is waardoor resolving some moeizaam gaat onderling.. Waarschijnelijk komt er niet alleen een oplossing voor die 13 root DNS servers maar ook een standarisatie van de DNS protocol.
Paar seconden trager internet maakt wel degelijk uit. Denk maar aan de time-out tijden van bepaalde requesten.

correct me if I'm wrong. :7
IceM 22 oktober 2003 13:05
zoekt men honderd tot vijfhonderd
Waarom gaat iedereen nu meteen uit van het maximale, dus 500 personen.
Het kunnen er net zo goed 100 zijn, dus waarom iedereen zegt "en om er meteen 500 man achter te zetten...." vind ik een beetje te voorbarig.
Verwijderd 22 oktober 2003 12:23
Als ze nu eens elk land ofzo een root server gaven lijk dat het risico dan aardig gepreid wordt.
Beaves @Verwijderd22 oktober 2003 12:31
Her risico is al aardig gespreid door de vele DNS servers die wereldwijd draaien.

Als in het ergste geval alle root DNS'sen door een dDOS niet meer bereikbaar zijn, zijn er altijd nog de DNS servers die wereldwijd bij bijvoorbeeld ISP's draaien. Het wordt pas riskant als de niet bereikbaarheid van de root servers langer als 24 gaat duren aangezien de meeste DNS records met een TTL van 24 uur zijn ingesteld.

Dan kan de DNS server zijn informatie niet updaten en dat kan lastig zijn. De meeste DNS servers zullen gewoon de oude informatie blijven gebruiken, maar fijn is anders.

Overigens heeft Afrika net zijn eerste DNS rootserver gekregen, er wordt dus wel gewerkt aan verdere spreiding.
Thrillseeka @Beaves22 oktober 2003 14:50
afrika heeft een backup server gekregen.. althans een miroring.. niet een volwaardige server.
CumpsD @Beaves22 oktober 2003 17:42
Duurt een ddos gemiddeld niet meer dan 24u dan?
S4E 22 oktober 2003 12:41
Denk het wel ja.

7 van de 13 servers waren onderuit gegaan.Dat is meer dan de helft.

Zet er 100 neer, en laat ze het een 2e keer lukken, liggen er 60 uit! ;-)
Dus hoe meer je er neerzet, hoe meer ze er onderuit kunnen krijgen lijkt mij.

Mij lijkt het een goed idee, een wat algemenere beveiliging hiervoor.
Tijntje @S4E22 oktober 2003 12:47
Dat is natuurlijk onzin.

De root servers zijn toen uit de lucht gehaald door een dos aanval. Om nog meer servers plat te leggen is er wel een hele grote dos aanval nodig dat is niet releel.
En wat andere mensen ook al schreven. Het is een root server deze krijgt alleen een query als jouw ISP dns server het niet weet.
YopY 22 oktober 2003 14:02
...in a massive distributed denial-of-service attack...
Nu wil ik eigenlijk wel eens weten wat er nou eigelijk gebeurt bij zo'n DDoS aanval. Ik weet wel dat je daarmee een server plat kan leggen ofzo, maar hoe gaat dit in zijn werk?
Tijntje @YopY22 oktober 2003 14:13
Er worden zoveel requests naar een server gestuurd dat de server niet meer kan antwoorden.
Vergelijk het maar met 100 mensen die tegelijk iets aan je vragen. Je leeft nog wel maar je kan geen antwoord geven.
YopY @Tijntje22 oktober 2003 15:36
Ok, bedankt voor de informatie. (overbodig, offtopic, jaja)
Verwijderd @Tijntje23 oktober 2003 00:08
hoe stuurt men dan die requests?
(wil niet als noob overkomen, maar denk dat dit toch al wel het geval is....)
gumkop 22 oktober 2003 13:09
zeven van de dertien root-servers onderuit gingen
Ik herinner me gelezen te hebben dat om te kijken of de root-servers 'up' zijn er met simpele pings wordt gewerkt, en dat ze tijdens de attack hadden ingesteld dat ook ICMP packets moesten worden geweerd en dat het zo in eerste instantie leek of ze onderuit waren gegaan. Oftewel volgens mij was er geeneen onderuit gegaan.
eek 22 oktober 2003 14:38
Er zijn 13 root nameservers omdat dit precies in 1 udp pakketje past. Anders hadden er vermoedelijk
wel meer gestaan.
grobbel @eek22 oktober 2003 16:42
Is die 'nieuwe' dns-root server in Johannesburg dan slechts een verplaatste oude server?
JustMitch @grobbel22 oktober 2003 17:22
Nee, het is een back-up/mirror zoals in dat nieuwsbericht staat maar wat ik me af vraag is hoe gaan providers daar mee om? Wordt die ook aangesproken als een '14e' root server of is dat nerges gedefinieerd?
Harry_Sack 22 oktober 2003 17:18
Ik dacht dat hiervoor juist het dnssec project voor was opgestart zodat nameserverqueries niet afgevangen konden worden door malafide bronnen.

http://www.dnssec.net/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq