ENGINEERINGNET.BE - Slechts 1 tot 2% procent van de cyberaanvallen is op het DNS-netwerk gericht, maar succesvolle aanvallen hebben een grotere impact omdat het veel domeinen tegelijk onbereikbaar kan maken.
Binnen het project MADDVIPR achterhalen UTwente en de University of California hoe vaak deze aanvallen plaatsvinden, of ze succesvol zijn en of bedrijven effectieve tegenmaatregelen nemen.
UTwente beschikt over het, naar eigen zeggen, grootste meetsysteem ter wereld van het DNS-systeem. Dagelijks wordt hiervoor automatisch de status van zo’n tweederde van de wereldwijde domeinnamen opgevraagd.
University of California beschikt over een grote netwerktelescoop: een netwerk van computers dat verbonden is met het internet via ongebruikte IP-adressen, in totaal zo’n 12 miljoen.
“Al het verkeer dat daar binnenkomt is per definitie ongewenst, want in feite heb je daar niets te zoeken”, zegt hoogleraar Roland van Rijswijk-Deij van UTwente. “Wat we daarop zien, zijn aanvallen en scans: computers die proberen om verbinding te maken, die luisteren of ‘prikken’ om te zien of ze ergens doorheen komen.”
De netwerktelescoop levert data op over de aanvallen die plaatsvinden, over de intensiteit ervan en over welk deel van het DNS-netwerk onder vuur ligt. De onderzoekers combineren deze data met het functioneren van het DNS-netwerk.
Daarnaast checken ze zelf of domeinen via DNS vindbaar zijn, en of dit bijvoorbeeld langer dan normaal duurt. “Als je de informatie over de actuele aanvallen combineert met de prestaties van websites, krijg je een beeld van de effectiviteit van de acties”, zegt Van Rijswijk-Deij.
Er zijn manieren om aanvallen op het DNS-netwerk af te slaan of om hun effect te beperken. Een van de meest efficiënte manieren om dat te doen, is de servers waarop de data staan, te verspreiden, zegt Van Rijswijk-Deij.
Een andere oplossing is eenzelfde ip-adres op meerdere plekken ter wereld beschikbaar maken via diverse servers. Als een van de servers offline gaat, dan zoekt een computer automatisch naar een andere server met hetzelfde adres.
Om kosten te besparen, kloppen hostingpartijen vaak aan bij grote partijen die het werk voor een lagere prijs uit handen nemen. “Het afgelopen decennium hebben we gezien dat er een aantal partijen dominant zijn geworden in allerlei delen van het internet”, zegt Van Rijswijk-Deij.
“Denk aan Amazon, Google en Cloudflare voor het hosten van domeinen. Ook in Nederland is er één partij, TransIP, die honderdduizenden domeinnamen beheert. Als een van die partijen een issue heeft, dan heeft dat meteen grote gevolgen.”
Van Rijswijk-Deij zegt dat het internet tot nu toe vrij robuust lijkt. Toch sluit hij een grote storing niet uit. “De elektra die je huis binnenkomt is officieel ‘vitale infrastructuur’ die niet mág uitvallen. Dat geldt nog steeds niet voor internet, dat is best gek.”
