Apakah serangan Penguatan DNS?

Apakah serangan Penguatan DNS?

Penguatan DNS ialah serangan Penafian Perkhidmatan (DDoS) Teragih , di mana penyerang mengeksploitasi kelemahan dalam pelayan DNS (Sistem Nama Domain) untuk menukar pertanyaan kecil pada mulanya kepada muatan yang lebih besar dan dihantar. digunakan untuk "mengalih keluar" pelayan mangsa.

Penguatan DNS ialah sejenis serangan refleksi yang memanipulasi DNS yang boleh diakses secara umum, menjadikannya sasaran untuk sejumlah besar paket UDP. Menggunakan pelbagai teknik, pelaku boleh "mengembang" saiz paket UDP ini, menjadikan serangan itu begitu kuat sehingga memusnahkan walaupun infrastruktur Internet yang paling teguh.

Penerangan mengenai serangan

Penguatan DNS, seperti serangan penguatan lain, adalah sejenis serangan pantulan. Dalam kes ini, pencerminan dicapai dengan mendapatkan respons daripada penyelesai DNS kepada alamat IP palsu.

Dalam serangan Penguatan DNS, pelaku menghantar pertanyaan DNS dengan alamat IP palsu (mangsa) kepada penyelesai DNS terbuka, menyebabkan ia bertindak balas kepada alamat tersebut dengan respons DNS. Dengan banyak pertanyaan palsu dihantar dan dengan beberapa penyelesai DNS membalas semula secara serentak, rangkaian mangsa dengan mudah boleh "terharu" oleh bilangan respons DNS yang tidak terkawal.

Serangan balas adalah lebih berbahaya apabila dikuatkan. "Penguatan" di sini merujuk kepada respons pelayan yang tidak seimbang dengan permintaan paket asal yang dihantar.

Untuk menguatkan serangan DNS seperti ini, setiap permintaan DNS boleh dihantar menggunakan protokol sambungan DNS EDNS0, yang membenarkan mesej DNS yang besar, atau menggunakan ciri kriptografi DNSSEC (sambungan keselamatan DNS) untuk meningkatkan saiz. mesej. mesej. Pertanyaan palsu jenis "APA," yang mengembalikan semua maklumat yang diketahui tentang zon DNS dalam satu permintaan, juga boleh digunakan.

Melalui kaedah ini dan kaedah lain, mesej permintaan DNS bersaiz kira-kira 60 bait boleh dikonfigurasikan untuk menghantar mesej respons melebihi 4000 bait ke pelayan destinasi - menghasilkan faktor penguatan 70 :first. Ini dengan ketara meningkatkan volum trafik yang diterima oleh pelayan sasaran dan meningkatkan kadar sumber pelayan tersebut habis.

Tambahan pula, serangan Penguatan DNS sering memajukan permintaan DNS melalui satu atau lebih botnet - meningkatkan trafik terus ke pelayan yang disasarkan dengan ketara dan menyukarkan untuk memantau Watak penyerang adalah lebih sukar.

Penguatan DNS ialah serangan Penafian Perkhidmatan (DDoS) Teragih

• Apakah itu Serangan Lapisan Aplikasi?

Kaedah untuk mengurangkan kesan serangan Penguatan DNS

Cara biasa untuk mencegah atau meminimumkan kesan serangan Penguatan DNS termasuk mengetatkan keselamatan pelayan DNS, menyekat pelayan DNS tertentu atau semua pelayan geganti rekursif dan mengehadkan kadar.

Walau bagaimanapun, kaedah ini tidak menghapuskan sumber serangan, dan juga tidak mengurangkan beban rangkaian dan bertukar antara pelayan nama dan pelayan rekursif terbuka. Selain itu, menyekat semua trafik daripada pelayan rekursif terbuka mungkin menghalang percubaan komunikasi DNS yang sah. Sebagai contoh, sesetengah organisasi mengekalkan pelayan rekursi terbuka supaya pekerja yang bekerja pada peranti mudah alih boleh menyelesaikan daripada pelayan nama "dipercayai". Menyekat trafik daripada pelayan ini mungkin menghalang akses mereka.

Bagaimana untuk mengelakkan serangan Penguatan DNS

Jadi apakah yang boleh anda lakukan untuk mengelakkan organisasi anda daripada menjadi mangsa serangan Penguatan DNS?

Pastikan penyelesai peribadi dan dilindungi

Jika anda mengendalikan penyelesai anda sendiri, penggunaan penyelesai itu hendaklah dihadkan kepada pengguna pada rangkaian anda untuk membantu menghalang cachenya daripada dicemari oleh penggodam di luar organisasi. Ia tidak boleh dibuka kepada pengguna luar.

Konfigurasikan ia seaman mungkin untuk melindungi daripada jangkitan cache oleh perisian hasad. Perlindungan terbina dalam perisian DNS yang melindungi daripada jangkitan cache termasuk menambahkan perubahan pada permintaan keluar, untuk menyukarkan penggodam menerima respons palsu. Cara-cara ini boleh dilakukan termasuk:

• Gunakan port sumber rawak (bukan port UDP 53)
• Rawak ID pertanyaan
• Letakkan huruf besar dan huruf kecil secara rawak dalam nama domain penghantaran untuk resolusi. (Itu kerana pelayan nama akan menganggap example.com dan ExaMPle.com sama apabila menyelesaikan alamat IP, tetapi ia akan bertindak balas menggunakan ejaan yang sama seperti pertanyaan asal).

Urus pelayan DNS dengan selamat

Apabila ia berkaitan dengan pelayan berwibawa, anda perlu memutuskan sama ada untuk mengehoskannya sendiri atau melakukannya melalui pembekal perkhidmatan atau pendaftar domain. Seorang pakar berkata: "Tiada sesiapa yang mengambil berat tentang keselamatan anda lebih daripada anda, jadi anda harus menjadi tuan rumah dan menguruskannya sendiri, jika anda mempunyai kemahiran untuk berbuat demikian."

Jika anda tidak mempunyai kemahiran tersebut, sudah tentu adalah idea yang baik untuk meminta orang lain melakukannya untuk anda. Ia bukan sahaja soal kepakaran tetapi juga skala kerana banyak organisasi perlu mempunyai pelayan DNS di tiga atau empat tempat di seluruh dunia.