'Eerste' DDoS-aanval over IPv6
Wesley George, netwerkgoeroe bij de SiteProtect DDoS protection service van Neustar, zag deze week verkeer van IPv6-adressen naar een IPv6-host als onderdeel van een grotere aanval op een domain name server van het bedrijf.
© CC BY 2.0 Petra Bensted
CC BY 2.0 Petra Bensted
Neustars UltraDNS-dienst handelt 10 procent van al het internetverkeer af. De gerapporteerde aanval was niet groot, maar hij werd verwacht en is nu in het wild waargenomen. Computers achter 1900 IPv6-adressen namen eraan deel, waarvan 400 slecht geconfigureerde DNS-systemen. Die namen ongeveer een derde van het gegenereerde verkeer voor hun rekening door antwoorden van vele bytes groter dan de vraag naar het aan te vallen adres te sturen, een methode die bekend staat als DNS amplification.
Beveiliging
Het alarmerende aan deze zaak is volgens George dat beheerders in hun haast om een IPv6-server van de grond te krijgen, de beveiliging blijkbaar hebben overgeslagen. IPv6, een protocol ingesteld omdat het aantal IP-adressen in versie 4 op begon te raken, moet apart van het IPv4-netwerk worden opgezet. Dat zou een uitgelezen kans zijn om het systeem van de grond af dicht te timmeren, maar dat is dus hier niet gebeurd. Later herstellen van dit soort fouten kan jaren kosten.
Open resolvers
IPv6 heeft 16^32 mogelijke adressen, wat een aanvaller gigantisch veel ruimte geeft en het bovendien vrijwel onmogelijk maakt ze allemaal te scannen op zoek naar open DNS-resolvers – de methode die tot nu toe gebruikt werd om kwetsbare plekken te vinden en te patchen. Maar veel van die patches werken ook alleen voor IPv4, en daarnaast maakt IPv6 voor netwerken veel meer gebruik van software (inherent kwetsbaarder dan de hardware van IPv4) en bevatten de uitgebreidere headers van de IPv6-pakketten weer nieuwe mogelijkheden voor aanvallen.
Kruisbesmetting
Omdat IPv4- en IPv6-systemen op de meeste plaatsen parallel draaien kan een aanval via IPv6 langs de gemeenschappelijke routers en switches overspringen naar het IPv4-systeem, en vice versa. Systeembeheerders hebben tools voor het detecteren en afslaan van 'ouderwetse' aanvallen via IPv4, maar blijven dan zitten met het IPv6-gedeelte.
Vrijwel alle nieuwe mobiele apparaten en PC's zijn geschikt voor IPv6, dus als beheerders hun best practices voor IPv4 niet toepassen in het nieuwe systeem zullen de gevolgen zeer wijdverspreid zijn.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee