Reflexní útok DNS se používá při mnoha útocích typu DDoS (Distributed Denial-of-Service) k vyřazení internetové linky. Útok probíhá ve dvou krocích; útočník posílá velké množství požadavků na jeden nebo více legitimních serverů DNS a zároveň používá podvrženou zdrojovou IP adresu cílové oběti. Server DNS, který pololegitimní požadavky přijímá, odpoví na podvrženou IP, čímž nevědomky zahájí útok na cílovou oběť s odpověďmi na požadavky, které oběť nikdy neposlala.

Internet je plný serverů DNS nabízených jako open-resolvery, které obslouží jakýkoli požadavek, který jim byl zaslán, některé zprávy uvádějí milionové množství. Tento obrovský počet velmi ztěžuje předběžnou identifikaci útoku pomocí reputace IP. Navíc se ve skutečnosti jedná o legitimní servery, které obvykle odesílají legitimní provoz, takže jakákoli služba pro reputaci IP je zmatená, zda jejich povaha je či není škodlivá.

Většina dotazů DNS je odesílána pomocí protokolu UDP, který neumožňuje ověření zdrojové IP. Proto zprostředkující server DNS předpokládá, že požadavky přicházejí od oběti, a posílá mu odpovědi zpět. Díky podvržení IP je pro server oběti velmi obtížné odhalit útočníka, protože se tváří, jako by na něj útočil legitimní server DNS, a IP adresa útočníka je zcela skrytá. IP spoofing také znehodnocuje reputační služby IP, které, pokud nejsou správně napsány, mohou legitimnímu serveru DNS přiřadit špatnou reputaci. Odstraňuje také jakoukoli dohledatelnost pro bezpečnostní očekávání, která se snaží identifikovat zdroj útoku.

Další výhodou pro spoofing je možnost napadnout jakýkoli server nebo službu. Útočník může použít veřejnou IP adresu a port serveru oběti a zajistit, aby byl útok odeslán na jakoukoli službu, nejen na službu DNS. Provoz bude jednoduše vypadat jako spousta dat a server bude muset data analyzovat a zkoumat, aby se ujistil, že se nejedná o legitimní provoz.

Všimněte si, že podvržení IP je také omezením tohoto útoku – pokud podvržení IP není možné, útok nelze provést, protože neexistuje způsob, jak nasměrovat odpovědi na IP oběti. To je případ botů Mirai běžících na zařízeních IoT za směrovačem, který provádí NAT. Nejnovější taktika infekce Mirai však míří na samotné domácí směrovače, čímž se omezení NAT obchází.

Nejnovější a největší výhodou přispívající k destruktivnímu potenciálu reflexních záplav DNS je zesílení, kterého lze dosáhnout pomocí rozšíření DNS (EDNS0, definované v RFC 2671) a DNSSec. EDNS0 umožňuje, aby odpověď DNS byla větší než původních povolených 512, zatímco DNSSec umožňuje ověřování odpovědi, aby se zabránilo otravě vyrovnávací paměti. DNSSec ke svému fungování vyžaduje EDNS0, protože do odpovědi přidává kryptografická data. Vzhledem k tomu, že DNSSec je v dnešním internetu, který dbá na bezpečnost, stále populárnější, stále více serverů DNS podporuje EDNS0 a umožňuje útočníkovi dosáhnout velkých odpovědí na jeho požadavky.

Možná velikost odpovědi – až 4096 bajtů, umožňuje útočníkovi odeslat malý počet krátkých požadavků, zatímco odpovědi odeslané serverem DNS jsou značně zesílené, což vyčerpá internetové potrubí oběti. Útočníci mohou studovat server DNS a zjistit, které legitimní dotazy mohou vést k velkým odpovědím, a také je pomocí DNSSec ještě zvětšit pomocí kryptografických dat. V mnoha případech se odpověď může dostat maximálně na 4096 bajtů, což dává faktor zesílení původního požadavku x100.

Při dnešní velké internetové konektivitě může 100 M připojení k internetu samo o sobě odeslat skromný útok a ještě způsobit určité škody na normálním webu. Pokud však má útočník možnost použít tuto obrovskou 4096bytovou odpověď pro svůj 44bytový požadavek a získat 100násobné zesílení, obdrží server oběti 10G útočného provozu, což je nad jeho běžnou šířku pásma. Takový provoz způsobí okamžité vyřazení jakékoli normální služby z provozu. Představte si, čeho lze dosáhnout s botnetem složeným třeba jen z několika takových botů.

K velikosti odpovědi se přidává skutečnost, že takové odpovědi se nevejdou do běžného paketu IP. V takových případech servery používají možnost IP-fragmentace, která jim umožňuje rozdělit zprávu do několika paketů. Použití fragmentovaného provozu při útoku ještě více ztěžuje zmírnění útoku – zmírňovač musí data prvního paketu 4. vrstvy (porty UDP) uložit do tabulky a použít je na ostatní pakety z téže zprávy. Mnoho síťových entit se rychle vyčerpá velkým množstvím fragmentovaného provozu, což tento útok ještě více zefektivňuje.

Video Radware na YouTube DNS amplification attack graficky znázorňuje strukturu a průběh reflexního útoku DNS.

Po seznámení se všemi zákoutími reflexního útoku DNS zbývá jediné – jak organizaci před takovým útokem ochránit a zmírnit ho? Na rozdíl od sofistikovanosti samotného útoku má tento problém známé řešení – abyste mohli reflexní útok DNS zmírnit, musíte mít na místě dobrý detektor, který útok rychle odhalí a zabrání výpadkům. Detektor by měl být dostatečně inteligentní na to, aby pochopil, že útok, který vidí, zahlcuje internetové připojení a je třeba přesměrovat provoz do centra pro čištění cloudu. Jakmile je provoz odkloněn do cloud scrubbing, bude vyčištěn a odeslán na web.

Samotný scrubbing závisí na množství podobného provozu, který je považován za legální – vidí web hodně provozu UDP? Provoz DNS? Fragmentovaný provoz? A pokud ano, čím se odlišuje od útočného provozu? Použití automatizované techniky k oddělení legitimního a útočného provozu vám poskytne dobré a rychlé zmírnění cloudu a také klid na duši.

Další informace najdete v mém předchozím blogu: Přečtěte si článek „Vytvoření bezpečného prostředí pro nedostatečně chráněná rozhraní API“ a dozvíte se více.

Stáhněte si nyní

.