Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Blacklist tegen DNS abuse

  • Door
  • Randy ten Have
  • geplaatst op
  • 20 augustus 2009 08:03 uur

Secure WWWBeveiligingsbedrijf Nominum komt met een blacklist om isbruik van DNS-servers tegen te gaan. Een actueel item sinds de ontdekking van het Kaminsky-lek en het gebrek aan ontbrekende beveiliging van DNS-servers. Novinum lijkt daarmee de eerste te zijn met een dergelijke dienst.

DNS blacklists kennen we al langer en worden door iedere provider gebruikt in haar mailservers. SORBS, Spamhaus en Baracuda zijn hier goede voorbeelden van. Omdat het nog jaren gaat duren voordat DNSSEC is toegepast in de gehele DNS-chain heeft Novinum de bekende blacklisten vertaald naar een model dat voor DNS-servers gebruikt kan worden. DNS poisining kan hiermee worden bestreden.

De werking is hetzelfde als bij mailservers. Wanneer een aanvraag een DNS server bereikt, wordt realtime in de blacklist gekeken of het oorspronkelijke IP bekend staat als abuser. Indien dit het geval is, zal de DNS server weten dat het om poisining gaat en zal hij de aanvragen vanaf dat IP-adres negeren.

“We see a clear trend in the service provider market, a distinct shift towards intelligent DNS solutions. Thus far, the majority of our customer base has already made this move,” says Bruce Van Nice, marketing director for Nominum. “There’s no reason why enterprises aren’t ultimately going to do the same thing. We’re quite convinced that this is the wave of the future.”

Er is al wel een nadeel: DNS servers zijn de basis van het Internet en moeten vooral snel reageren. Door realtime aanvragen te controleren kan hier vertraging in komen, zeker wanneer de DNS blacklist aan de andere kant van de oceaan staat. De ervaring zal dus moeten leren of het systeem werkbaar is en of er een zichtbare vertraging zal zijn in het beantwoorden van de aanvragen.

Japje, 20 augustus 2009 10:42 am

"Er is al wel een nadeel: DNS servers zijn de basis van het Internet en moeten vooral snel reageren. Door realtime aanvragen te controleren kan hier vertraging in komen, zeker wanneer de DNS blacklist aan de andere kant van de oceaan staat. De ervaring zal dus moeten leren of het systeem werkbaar is en of er een zichtbare vertraging zal zijn in het beantwoorden van de aanvragen."

Toen ik het las was dit het eerste waar ik aan dacht... Elke query tegen een lijst ergens anders aanhouden.. voor een piepklein udp pakketje een tcp sessie opzetten ergens heen... lijkt net op DNSSEC ;)

Lennie, 22 augustus 2009 1:19 am

Japje: voor een DNS-blacklist is geen tcp nodig

Maar euh, zo'n hele lange lijst kan het niet zijn, dus ik stel voor gewoon een lijstje van http ophalen iedere x minuten.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.