Wordt jouw router thuis gebruikt voor een DDoS-aanval?

Iedereen heeft tegenwoordig internet thuis. Tel zelf maar eens hoeveel apparaten je thuis hebt die van je internetverbinding gebruik maken. Computer, laptop, smartphone, tablet, tv, camera en ga zo maar door. Om die reden heeft vrijwel iedereen thuis tegenwoordig ook een router. Vaak zit de router geïntegreerd in je (kabel)modem, soms is het een apart kastje. De router maakt het mogelijk dat meerdere apparaten de internetverbinding gelijktijdig kunnen gebruiken. Erg nuttig natuurlijk.

    router

    Deze routers (of modems) zijn makkelijk aan te sluiten en als het werkt wordt er niet veel meer naar omgekeken. Het werkt immers, toch? Oudere routers hebben het probleem van een (wereldwijd bekend) standaard wachtwoord. Dit heeft in het verleden nog wel eens voor problemen gezorgd omdat bijvoorbeeld de standaard gebruikersnaam en wachtwoord-combinatie (bijvoorbeeld admin/admin) nogal eens niet veranderd werd. Kwaadwillenden kunnen met een bekende gebruikersnaam/wachtwoord-combinatie vanaf het internet een router overnemen. Lijsten met mogelijke combinaties voor routers zijn publiek toegankelijk.

    De wat moderne routers hebben gelukkig al vaak standaard een random wachtwoord voor beheer meegekregen. En deze routers staan standaard ook al ‘iets’ veiliger ingesteld. Maar er is nog steeds veel mis met deze routers voor thuisgebruik. Velen van jullie hebben ongetwijfeld wel eens van DDoS (Distributed Denial of Service) aanvallen gehoord. Hierbij worden services van een computer of netwerk zo zwaar belast dat deze niet meer (kunnen) functioneren. De kranten staan er de laatste jaren vol mee. Wat minder bekend is, is dat veel routers van thuisgebruikers ook bijdragen aan dit probleem. Ze maken het namelijk mede mogelijk.

    Open resolvers maken DDoS aanvallen mogelijk

    De schuldige heeft (vaak) met ‘DNS’ te maken, de afkorting van het Domain Name System. Dit is als het ware het telefoonboek van het internet;  de techniek zorgt voor de vertaling van mooie en onthoudbare namen als www.example.com naar de feitelijke op het internet gebruikte IP-adressen van servers te maken zoals ‘192.0.2.1’ of ‘2001:DB8:42:f00f:dead:b33f:c0ff:ee’. Iedere thuis-router levert deze DNS dienstverlening aan de aangesloten computers en WiFi-apparaten. Een apparaat dat deze rol binnen het DNS systeem vervult wordt ook wel een Resolver genoemd.

    Zowel op oudere als op de nieuwere routers kan het voorkomen dat deze DNS Resolver ‘service’ open staat. Met ‘open’ bedoelen we niet enkel vanaf het interne thuisnetwerk toegankelijk, maar voor iedereen vanaf het internet toegankelijk. Dit heeft als gevolg dat deze routers dan zogenaamde Open Resolvers zijn. Open Resolvers kunnen door kwaadwillenden gebruikt worden om een DDoS-aanval uit te voeren. Er wordt een request naar een Open Resolver gestuurd met een vals afzender IP-adres, namelijk het IP adres van het beoogde slachtoffer. De Open Resolver zal op basis van de vraag een antwoord geven aan het IP-adres dat daar om leek te vragen, dat van het slachtoffer. Op kleine schaal is dit nog niet zo’n (groot) probleem. De aanvaller kan er ook voor zorgen dat het antwoord dat de Open Resolver geeft vele malen groter is dan gebruikelijk, dit veelvuldig herhaalt en ook nog eens vermenigvuldigt door heel veel Open Resolvers te gebruiken.  Dan is het resultaat een heuse DDoS-aanval waarbij de aanvaller een boel onschuldige derden het vuile werk voor hem (of haar) laat opknappen.

    Controleer dus of je router thuis geen Open Resolver is!

    SURFnet heeft een dienst online gezet waarbij dit controleren eenvoudig gemaakt wordt. Ga hiervoor naar: http://www.openresolver.nl/ en vul het IP-adres van je internetaansluiting thuis in. Om te achterhalen wat je het IP-adres van je internetaansluiting thuis is, kun je naar Google gaan (werkt nog niet bij de .nl versie) en zoeken op de term „My IP”. Het resultaat is dan „Your public IP address is xxx.xxx.xxx.xxx”. Een alternatief voor Google is http://www.whatismyip.com/. Kopieer vervolgens dit IP-adres in het invulveld op http://www.openresolver.nl/ Klik vervolgens op ‘Controleer Resolver’ en bekijk het resultaat. Wanneer er geconstateerd wordt dat je router een Open Resolver is, dan zul je zelf actie moeten ondernemen om het misbruik van jouw thuis router te voorkomen. In de firewall kan bijvoorbeeld port 53 geblokkeerd worden of de Resolver-service kan uitgezet worden voor de WAN- of internetzijde. Indien je niet over de kennis beschikt om dit zelf te doen, raadpleeg hiervoor de gebruiksaanwijzing of een deskundige. Vaak zijn er ook updates voor de software op de router waarin de optie (later) is toegevoegd.

    Extra informatie / URL’s:

    Author

    Jeffeny Hoogervorst

    Comments

    Dit artikel heeft 0 reacties