Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2007 > CERT-FI varoitus 03/2007

CERT-FI varoitus 03/2007

10.2.2007

Suomalaisia nimipalvelimia käytetty palvelunestohyökkäyksen toteuttamiseen

Rekursiivisia kyselyitä sallivia nimipalvelimia on käytetty palvelunestohyökkäyksen toteuttamiseen. CERT-FI:n tietojen mukaan hyökkäyksessä on maailmanlaajuisesti ollut mukana noin 176 000 nimipalvelinta, joista Suomessa on ollut noin sata. CERT-FI:n tiedossa ei ole, että hyökkäyksessä olisi ollut kohteena suomalaisia verkkoja.

Internet-nimipalvelujärjestelmä (DNS) tarjoaa maailmanlaajuisen hajautetun osoitetietokannan verkkotunnusten ja osoitteiden välisiä muunnoksia varten. Järjestelmään liitettyjä, liian avoimeksi määriteltyjä nimipalvelimia voidaan käyttää palvelunestoon tähtäävän haittaliikenteen tuottamiseen. Väärennetyllä lähdeosoitteella varustettu ja tietyllä tavalla muotoiltuun tietueeseen kohdistettu kysely tuottaa kyselyviestiä huomattavasti suuremman vastaussanoman.

Lähettämällä pyyntö suurelle joukolle rekursiivisen kyselyliikenteen sallivia nimipalvelimia saadaan aikaan väärennettyyn osoitteeseen huomattava määrä ei-toivottua vastaussanomaliikennettä.

Suomalaisten palvelinten ylläpitäjille on ilmoitettu tapahtuneesta joko suoraan tai verkko-operaattorin välityksellä. Hyökkäykseen osallistuneille nimipalvelimille aiheutunut kuorma ei ole välttämättä oleellisesti poikennut tavanomaisesta.

Vastaavan hyökkäyksen käynnistämisen suomalaisista verkoista ei olisi mahdollista, koska Viestintäviraston määräyksen 13/2005 M neljäs pykälä velvoittaa teleyritykset suodattamaan sellainen asiakasliittymästä viestintäverkkoon suuntautuva liikenne, jonka lähdeosoite ei ole kyseiselle asiakasliittymälle osoitettu.

VAROITUKSEN KOHDERYHMÄ:

  • Nimipalvelinten ylläpitäjät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Nimipalvelimen ei tulisi sallia rekursiivisia kyselyjä oman palvelualueen ulkopuolisilta. Nimipalvelimen hyväksikäytön voi estää hyväksymällä ainoastaan omasta verkosta tulevat rekursiiviset kyselyt.

LISÄTIETOA:

Alla olevissa US-CERT:in ja Team Cymrun dokumenteissa on teknisiä ohjeita nimipalvelinten turvallisiin asetuksiin.

  • http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
  • http://www.auscert.org.au/render.html?it=80
  • http://www.cert-in.org.in/training/1stmay06/dotIN-DNS-DDoS.pdf
  • http://www.cymru.com/Documents/secure-bind-template.html
  • http://www.icann.org/committees/security/dns-ddos-advisory-31mar06.pdf
CERT-FI on käsitellyt aihetta tietoturvakatsauksissa 4/2005 ja 1/2006

    PÄIVITYSHISTORIA:

    10.2.2007, kello 12.00: Julkaistu
    31.7.2008, kello 17.05: Lisätty varoitukseen liittyvien artikkelien listaan viittaus CERT-FI varoitukseen 01/2008

    Sivua päivitetty 31.07.2008   Tulostusversio Tulostusversio