Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 15/12/2005
Et stigende antal angreb udnytter navneservere, som tilbyder såkaldte rekursive navneopslag. Offeret bombarderes med svar på falske opslag.Angrebene udnytter DNS-systemet (Domain Name System), der oversætter domænenavne som www.cert.dk til IP-adresser som 193.162.153.164. Når en pc skal bruge IP-adressen på www.cert.dk, spørger den sin navneserver. Hvis navneserveren ikke kender svaret, har den to muligheder: Den kan sende spørgsmålet videre til den næste navneserver i DNS-hierarkiet, eller den kan bede pc'en om selv at spørge den. Den første mulighed, hvor navneserveren sender forespørgslen videre, kaldes for rekursiv DNS.
Angriberen starter med at oprette en lang tekststreng på en navneserver. Derefter sættes en stribe pc'er på botnet til at bede om at modtage tekststrengen via DNS-opslag. Botnet-pc'erne forfalsker deres afsenderadresse, så den svarer til den computer, der skal angribes. Resultatet bliver, at offeret overdænges med svar på forespørgsler, som offeret ikke har bedt om. Da svarene alle indeholder den lange tekststreng, kan det få computeren eller dens internetforbindelse til at gå ned, fordi de overbebyrdes. Dermed er der tale om et såkaldt DoS-angreb (Denial of Service), hvor et system sættes ud af drift.
Angrebet virker kun ved navneservere, der understøtter rekursive opslag. I modsat fald vil den første navneserver svare tilbage til offeret, at den ikke kender svaret, men at offeret selv kan spørge den næste navneserver. Dette svar indeholder ikke den lange tekststreng, som overbebyrder systemet.
CERT-funktionen for det norske forskningsnet, UNINETT CERT, har observeret flere angreb af denne type. Også DK-CERT har bemærket en stigning i trafikken på UDP-port 53, som DNS anvender.
UNINETT CERT anbefaler, at organisationer kun tillader rekursive DNS-opslag for deres egne brugere. Endvidere foreslår de, at man placerer DNS-opslag og rekursive opslag på to separate DNS-servere.