Overslaan en naar de inhoud gaan

'Eerste' DDoS-aanval over IPv6

Wesley George, netwerkgoeroe bij de SiteProtect DDoS protection service van Neustar, zag deze week verkeer van IPv6-adressen naar een IPv6-host als onderdeel van een grotere aanval op een domain name server van het bedrijf.
DDoS tsunami
© CC BY 2.0 Petra Bensted
CC BY 2.0 Petra Bensted

Neustars UltraDNS-dienst handelt 10 procent van al het internetverkeer af. De gerapporteerde aanval was niet groot, maar hij werd verwacht en is nu in het wild waargenomen. Computers achter 1900 IPv6-adressen namen eraan deel, waarvan 400 slecht geconfigureerde DNS-systemen. Die namen ongeveer een derde van het gegenereerde verkeer voor hun rekening door antwoorden van vele bytes groter dan de vraag naar het aan te vallen adres te sturen, een methode die bekend staat als DNS amplification.

Beveiliging

Het alarmerende aan deze zaak is volgens George dat beheerders in hun haast om een IPv6-server van de grond te krijgen, de beveiliging blijkbaar hebben overgeslagen. IPv6, een protocol ingesteld omdat het aantal IP-adressen in versie 4 op begon te raken, moet apart van het IPv4-netwerk worden opgezet. Dat zou een uitgelezen kans zijn om het systeem van de grond af dicht te timmeren, maar dat is dus hier niet gebeurd. Later herstellen van dit soort fouten kan jaren kosten.

Open resolvers

IPv6 heeft 16^32 mogelijke adressen, wat een aanvaller gigantisch veel ruimte geeft en het bovendien vrijwel onmogelijk maakt ze allemaal te scannen op zoek naar open DNS-resolvers – de methode die tot nu toe gebruikt werd om kwetsbare plekken te vinden en te patchen. Maar veel van die patches werken ook alleen voor IPv4, en daarnaast maakt IPv6 voor netwerken veel meer gebruik van software (inherent kwetsbaarder dan de hardware van IPv4) en bevatten de uitgebreidere headers van de IPv6-pakketten weer nieuwe mogelijkheden voor aanvallen.

Kruisbesmetting

Omdat IPv4- en IPv6-systemen op de meeste plaatsen parallel draaien kan een aanval via IPv6 langs de gemeenschappelijke routers en switches overspringen naar het IPv4-systeem, en vice versa. Systeembeheerders hebben tools voor het detecteren en afslaan van 'ouderwetse' aanvallen via IPv4, maar blijven dan zitten met het IPv6-gedeelte.

Vrijwel alle nieuwe mobiele apparaten en PC's zijn geschikt voor IPv6, dus als beheerders hun best practices voor IPv4 niet toepassen in het nieuwe systeem zullen de gevolgen zeer wijdverspreid zijn.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in