DNS reflekterende angreb bruges i mange DDoS-angreb (distributed denial-of-service) til at slå et internetrør ned. Angrebet er et totrinsangreb; angriberen sender en stor mængde forespørgsler til en eller flere legitime DNS-servere og bruger samtidig en spoofed kilde-IP på målofferet. DNS-serveren, der modtager de semi-legitime anmodninger, svarer til den forfalskede IP-adresse og iværksætter derved ubevidst et angreb på offeret med svar på anmodninger, som offeret aldrig har sendt.

Internettet er fuldt af DNS-servere, der tilbydes som open-resolvers, som vil besvare enhver anmodning, der sendes til dem, og nogle rapporter nævner millioner som mængden. Dette enorme antal gør det meget svært at identificere angrebet på forhånd ved hjælp af IP-omdømme. Desuden er serverne faktisk legitime servere, der normalt sender legitim trafik, hvilket gør enhver IP-reputationstjeneste forvirret med hensyn til, om deres karakter er ondsindet eller ej.

De fleste DNS-forespørgsler sendes ved hjælp af UDP, en protokol, der ikke muliggør validering af kilde-IP. Derfor antager den mellemliggende DNS-server, at forespørgslerne kommer fra offeret, og sender svarene tilbage til ham. IP-spoofing gør det ekstremt vanskeligt for offerserveren at opdage angriberen, da det ser ud som om den bliver angrebet af en legitim DNS-server, og angriberens IP er fuldstændig skjult. IP-spoofing ugyldiggør også IP-reputationstjenester, som, hvis de ikke er skrevet korrekt, kan give en legitim DNS-server et dårligt omdømme. Det fjerner også enhver mulighed for, at sikkerhedsmyndighederne kan forsøge at identificere angrebskilden.

En anden fordel for spoofing er muligheden for at angribe enhver server eller tjeneste. Angriberen kan bruge offerets offentlige server-IP og -port til at sikre, at angrebet sendes til en hvilken som helst tjeneste, ikke kun en DNS-tjeneste. Trafikken vil blot ligne en masse data, og serveren vil være nødt til at analysere og undersøge dataene for at sikre, at det ikke er legitim trafik.

Bemærk, at IP-spoofing også er en begrænsning af dette angreb – hvis IP-spoofing ikke er muligt, kan angrebet ikke iværksættes, da der ikke er nogen måde at lede svarene til offerets IP på. Dette er tilfældet med Mirai-botterne, der kører på IoT-enheder bag en router, der udfører NAT. De seneste Mirai-infektionstaktikker sigter dog mod selve hjemme-routerne og omgår dermed NAT-begrænsningen.

Den seneste og største fordel, der bidrager til det destruktive potentiale ved refleksive DNS-floder, er forstærkning, som kan opnås ved hjælp af DNS-udvidelser (EDNS0, defineret i RFC 2671) og DNSSec. EDNS0 gør det muligt at gøre DNS-svaret større end de oprindelige 512 tilladte, mens DNSSec gør det muligt at autentificere svaret for at forhindre cacheforgiftning. DNSSec kræver EDNS0 for at fungere, da det tilføjer kryptografiske data til svaret. Da DNSSec er ved at blive populært på det sikkerhedsbevidste internet i dag, får det flere og flere DNS-servere til at understøtte EDNS0 og giver en angriber mulighed for at opnå store svar på sine anmodninger.

Den mulige størrelse af svaret – op til 4096 bytes – giver angriberen mulighed for at sende et lille antal korte anmodninger, mens de svar, der sendes af DNS-serveren, forstærkes kraftigt og udtømmer offerets internetrør. Angribere kan studere DNS-serveren og finde ud af, hvilke legitime forespørgsler der kan resultere i store svar, og de kan også bruge DNSSec til at gøre dem endnu større med kryptografiske data. I mange tilfælde kan svaret komme op på maksimalt 4096 bytes, hvilket giver en forstærkningsfaktor på x100 for den oprindelige forespørgsel.

Med nutidens store internetforbindelser kan en 100 M-forbindelse til internettet i sig selv sende et beskedent angreb og stadig forårsage en vis skade på et normalt websted. Men hvis angriberen har mulighed for at bruge dette enorme svar på 4096 bytes til sin 44bytes-forespørgsel og få 100x forstærkning, vil offerserveren modtage 10 G angrebstrafik, der overstiger dens normale trafikbåndbredde. En sådan trafik vil medføre, at enhver normal tjeneste straks vil blive ude af drift. Forestil dig, hvad der kan opnås med et botnet bestående af blot nogle få af disse bots.

Som supplement til svarets størrelse kommer det faktum, at sådanne svar ikke kan passe ind i en normal IP-pakke. I tilfælde som dette bruger servere IP-fragmenteringsmuligheden, som gør det muligt at opdele meddelelsen i flere pakker. Brugen af fragmenteret trafik i angrebet gør det endnu sværere at afhjælpe angrebet – afhjælperen skal gemme den første pakkes lag 4-data (UDP-porte) i en tabel og anvende den på resten af pakkerne fra den samme meddelelse. Mange netværksenheder bliver hurtigt udmattet af en masse fragmenteret trafik, hvilket gør dette angreb endnu mere effektivt.

Radwares YouTube-video om DNS-forstærkningsangreb illustrerer grafisk strukturen og flowet af et refleksivt DNS-angreb.

Når man har lært alle ins og outs af det refleksive DNS-angreb, er der én ting tilbage – hvordan beskytter man en organisation mod et sådant angreb og afbøder det? I modsætning til selve angrebets sofistikering har dette problem en kendt løsning – for at afbøde et DNS-refleksionsangreb skal man have en god detektor på stedet, så man hurtigt kan opdage angrebet og forhindre nedetid. Detektoren skal være intelligent nok til at forstå, at det angreb, den ser, mætter internetforbindelsen, og at trafikken skal omdirigeres til et cloud scrubbing-center. Når trafikken er omdirigeret til cloud scrubbing, vil den blive renset og sendt til webstedet.

Selve scrubbingen afhænger af mængden af lignende trafik, som anses for at være lovlig – ser webstedet meget UDP-trafik? DNS-trafik? Fragmenteret trafik? Og i så fald, hvad adskiller den fra angrebstrafikken? Ved at bruge en automatiseret teknik til at adskille den legitime trafik fra angrebstrafikken får du god og hurtig cloud mitigation og også en vis ro i sindet.

For flere oplysninger kan du læse min tidligere blog: DNS og DNS-angreb

Læs “Creating a Safe Environment for Under-Protected APIs” for at få mere at vide.

Download nu