Ce este atacul de amplificare DNS?

Ce este atacul de amplificare DNS?

Amplificarea DNS este un atac Distributed Denial of Service (DDoS) , în care atacatorii exploatează vulnerabilitățile din serverele DNS (Domain Name System) pentru a transforma interogările inițial mici în încărcături utile transmise mult mai mari, folosite pentru a „demonta” serverul victimei.

Amplificarea DNS este un tip de atac de reflexie care manipulează DNS-urile accesibile publicului, făcându-le ținte pentru un număr mare de pachete UDP. Folosind o varietate de tehnici, autorii pot „umfla” dimensiunea acestor pachete UDP, făcând atacul atât de puternic încât distruge chiar și cea mai robustă infrastructură de internet.

Descrierea atacului

Amplificarea DNS, ca și alte atacuri de amplificare, este un tip de atac de reflexie. În acest caz, oglindirea este realizată prin obținerea unui răspuns de la soluția DNS la o adresă IP falsificată.

Într-un atac de amplificare DNS, făptuitorul trimite o interogare DNS cu o adresă IP falsificată (a victimei) către un rezolutor DNS deschis, făcându-l să răspundă la acea adresă cu un răspuns DNS. Cu multe interogări false trimise și cu mai mulți soluți DNS care răspund simultan, rețeaua victimei poate fi cu ușurință „copășită” de numărul necontrolat de răspunsuri DNS.

Contraatacurile sunt și mai periculoase atunci când sunt amplificate. „Amplificare” aici se referă la răspunsul serverului fiind disproporționat cu cererea de pachet original trimisă.

Pentru a amplifica un astfel de atac DNS, fiecare cerere DNS poate fi trimisă utilizând protocolul de extensie DNS EDNS0, care permite mesaje DNS mari, sau utilizați caracteristica criptografică a DNSSEC (extensie de securitate DNS) pentru a crește dimensiunea mesajului. De asemenea, pot fi folosite interogări falsificate de tip „ORICE”, care returnează toate informațiile cunoscute despre zona DNS într-o singură solicitare.

Prin aceste și alte metode, un mesaj de solicitare DNS de aproximativ 60 de octeți poate fi configurat pentru a trimite un mesaj de răspuns de peste 4000 de octeți către serverul de destinație - rezultând un factor de amplificare de 70 :first. Acest lucru crește semnificativ volumul de trafic primit de serverul țintă și crește rata la care resursele serverului sunt epuizate.

Mai mult decât atât, atacurile de amplificare DNS transmit adesea cererile DNS prin una sau mai multe rețele bot - creșterea semnificativă a traficului direct către serverele vizate și îngreunarea monitorizării caracterului atacatorului este mult mai dificilă.

Amplificarea DNS este un atac Distributed Denial of Service (DDoS).

• Ce este Application Layer Attack?

Metode de atenuare a impactului atacurilor de amplificare DNS

Modalitățile obișnuite de a preveni sau de a minimiza impactul atacurilor de amplificare DNS includ înăsprirea securității serverului DNS, blocarea anumitor servere DNS sau a tuturor serverelor de retransmisie recursive și limitarea ratei.

Cu toate acestea, aceste metode nu elimină sursele de atac și nici nu reduc încărcarea rețelei și comutarea între serverele de nume și serverele recursive deschise. În plus, blocarea întregului trafic de la serverele recursive deschise poate împiedica încercările legitime de comunicare DNS. De exemplu, unele organizații mențin servere de recursivitate deschise, astfel încât angajații care lucrează pe dispozitive mobile să poată rezolva de la serverele de nume „de încredere”. Blocarea traficului de pe aceste servere poate împiedica accesul acestora.

Cum să preveniți atacul de amplificare DNS

Deci, ce puteți face pentru a preveni organizația dvs. să cadă victima unui atac de amplificare DNS?

Păstrați soluția privat și protejat

Dacă utilizați propriul dvs. resolver, utilizarea acelui resolver ar trebui să fie limitată la utilizatorii din rețeaua dvs. pentru a preveni contaminarea cache-ului său de hackeri din afara organizației. Nu poate fi deschis pentru utilizatori externi.

Configurați-l să fie cât mai sigur posibil pentru a vă proteja împotriva infecției cache-ului cu malware. Măsurile de siguranță încorporate în software-ul DNS care protejează împotriva infecțiilor din cache includ adăugarea de modificări la solicitările trimise, pentru a îngreuna hackeri să primească răspunsuri false. Modalitățile în care se poate face acest lucru includ:

• Utilizați un port sursă aleatoriu (în loc de portul UDP 53)
• ID-ul de interogare aleatoriu
• Plasați aleatoriu litere mari și mici în numele domeniului de trimitere pentru rezolvare. (Aceasta se datorează faptului că serverul de nume va trata example.com și ExaMPle.com la fel atunci când rezolvă adresele IP, dar va răspunde folosind aceeași ortografie ca și interogarea originală).

Gestionați serverul DNS în siguranță

Când vine vorba de servere autorizate, trebuie să decideți dacă să le găzduiți singur sau să o faceți printr-un furnizor de servicii sau un registrator de domenii. Un expert spune: „Nimănui nu îi pasă de securitatea ta mai mult decât tine, așa că ar trebui să o găzduiești și să o gestionezi singur, dacă ai abilitățile necesare pentru a face acest lucru.”

Dacă nu aveți aceste abilități, atunci desigur că este o idee bună să cereți pe altcineva să o facă pentru dvs. Nu este doar o chestiune de expertiză, ci și de scară, deoarece multe organizații trebuie să aibă servere DNS în trei sau patru locuri din lume.