Co to jest atak wzmacniający DNS?

Co to jest atak wzmacniający DNS?

Wzmocnienie DNS to atak typu Distributed Denial of Service (DDoS) , podczas którego napastnicy wykorzystują luki w zabezpieczeniach serwerów DNS (Domain Name System), aby przekształcić początkowo małe zapytania w znacznie większe, przesyłane ładunki, wykorzystywane do „usunięcia” serwera ofiary.

Wzmocnienie DNS to rodzaj ataku refleksyjnego, który manipuluje publicznie dostępnymi serwerami DNS, czyniąc je celami dla dużej liczby pakietów UDP. Korzystając z różnych technik, sprawcy mogą „zawyżać” rozmiar pakietów UDP, czyniąc atak tak potężnym, że niszczy nawet najbardziej solidną infrastrukturę internetową.

Opis ataku

Wzmocnienie DNS, podobnie jak inne ataki wzmacniające, jest rodzajem ataku odbicia. W tym przypadku dublowanie osiąga się poprzez wywołanie odpowiedzi od modułu rozpoznawania nazw DNS na sfałszowany adres IP.

W ataku wzmacniającym DNS sprawca wysyła zapytanie DNS zawierające sfałszowany adres IP (ofiary) do otwartego modułu rozpoznawania nazw DNS, powodując, że ten odpowiada na ten adres odpowiedzią DNS. W przypadku wysyłania wielu fałszywych zapytań i jednoczesnej odpowiedzi kilku programów rozpoznawania nazw DNS sieć ofiary może łatwo zostać „przytłoczona” niekontrolowaną liczbą odpowiedzi DNS.

Kontrataki są jeszcze bardziej niebezpieczne, gdy zostaną wzmocnione. „Wzmocnienie” odnosi się tutaj do odpowiedzi serwera, która jest nieproporcjonalna do pierwotnego wysłanego żądania pakietu.

Aby wzmocnić taki atak DNS, każde żądanie DNS można wysłać przy użyciu protokołu rozszerzenia DNS EDNS0, który umożliwia przesyłanie dużych wiadomości DNS, lub użyć funkcji kryptograficznej DNSSEC (rozszerzenie zabezpieczeń DNS) w celu zwiększenia rozmiaru wiadomości. Można również użyć sfałszowanych zapytań typu „ANY”, które zwracają wszystkie znane informacje o strefie DNS w jednym żądaniu.

Za pomocą tych i innych metod można skonfigurować komunikat żądania DNS o rozmiarze około 60 bajtów w taki sposób, aby wysyłał komunikat odpowiedzi o długości ponad 4000 bajtów do serwera docelowego - co daje współczynnik wzmocnienia wynoszący 70:first. To znacznie zwiększa wielkość ruchu odbieranego przez serwer docelowy i zwiększa tempo wyczerpywania się zasobów serwera.

Co więcej, ataki DNS Amplification często przesyłają żądania DNS przez jeden lub więcej botnetów , co znacznie zwiększa bezpośredni ruch do docelowych serwerów i utrudnia monitorowanie. Charakter atakującego jest znacznie trudniejszy.

Wzmocnienie DNS to atak typu rozproszona odmowa usługi (DDoS).

• Co to jest atak na warstwę aplikacji?

Metody łagodzenia skutków ataków wzmacniających DNS

Typowe sposoby zapobiegania atakom polegającym na wzmocnieniu DNS lub minimalizowania ich skutków obejmują zwiększanie bezpieczeństwa serwerów DNS, blokowanie określonych serwerów DNS lub wszystkich rekursywnych serwerów przekazujących oraz ograniczanie szybkości.

Metody te nie eliminują jednak źródeł ataków ani nie zmniejszają obciążenia sieci i przełączania pomiędzy serwerami nazw a otwartymi serwerami rekurencyjnymi. Ponadto blokowanie całego ruchu z otwartych serwerów rekurencyjnych może utrudniać uzasadnione próby komunikacji DNS. Na przykład niektóre organizacje utrzymują otwarte serwery rekursyjne, aby pracownicy pracujący na urządzeniach mobilnych mogli rozpoznawać nazwy z „zaufanych” serwerów nazw. Blokowanie ruchu z tych serwerów może utrudnić dostęp do nich.

Jak zapobiec atakowi polegającemu na wzmocnieniu DNS

Co zatem możesz zrobić, aby uchronić swoją organizację przed atakiem polegającym na wzmocnieniu DNS?

Zachowaj prywatność i ochronę mechanizmu rozpoznawania nazw

Jeśli używasz własnego programu rozpoznawania nazw, korzystanie z niego powinno być ograniczone do użytkowników w Twojej sieci, aby zapobiec zanieczyszczeniu jego pamięci podręcznej przez hakerów spoza organizacji. Nie można go otworzyć dla użytkowników zewnętrznych.

Skonfiguruj go tak, aby był jak najbardziej bezpieczny, aby chronić przed infekcją pamięci podręcznej złośliwym oprogramowaniem. Zabezpieczenia wbudowane w oprogramowanie DNS, które chronią przed infekcjami pamięci podręcznej, obejmują dodawanie zmian w żądaniach wychodzących, aby utrudnić hakerom otrzymywanie fałszywych odpowiedzi. Sposoby, w jakie można to zrobić, obejmują:

• Użyj losowego portu źródłowego (zamiast portu UDP 53)
• Losuj identyfikator zapytania
• Losowo umieść wielkie i małe litery w nazwie domeny wysyłającej, aby rozwiązać problem. (Dzieje się tak, ponieważ serwer nazw będzie traktował example.com i ExaMPle.com tak samo podczas rozpoznawania adresów IP, ale odpowie, używając tej samej pisowni, co oryginalne zapytanie).

Zarządzaj bezpiecznie serwerem DNS

Jeśli chodzi o serwery autorytatywne, musisz zdecydować, czy hostować je samodzielnie, czy zrobić to za pośrednictwem usługodawcy lub rejestratora domen. Jeden z ekspertów mówi: „Nikt nie dba o Twoje bezpieczeństwo bardziej niż Ty, dlatego powinieneś samodzielnie hostować i zarządzać nim, jeśli masz do tego odpowiednie umiejętności”.

Jeśli nie masz takich umiejętności, dobrze jest zlecić to komuś innemu. Nie jest to tylko kwestia wiedzy specjalistycznej, ale także skali, ponieważ wiele organizacji potrzebuje serwerów DNS w trzech lub czterech miejscach na całym świecie.