DNS-heijastushyökkäykset

heinä 27, 2021
admin

DNS-heijastushyökkäystä käytetään monissa hajautetuissa palvelunestohyökkäyksissä (DDoS-hyökkäyksissä) internetputken kaatamiseen. Hyökkäys on kaksivaiheinen; hyökkääjä lähettää suuren määrän pyyntöjä yhdelle tai useammalle lailliselle DNS-palvelimelle ja käyttää samalla kohdeuhrin väärennettyä lähde-IP:tä. DNS-palvelin, joka vastaanottaa puoliksi lailliset pyynnöt, vastaa väärennettyyn IP-osoitteeseen ja käynnistää siten tietämättään hyökkäyksen kohdeuhriin vastauksilla pyyntöihin, joita uhri ei ole koskaan lähettänyt.

Internet on täynnä DNS-palvelimia, joita tarjotaan avoimiksi ratkaisijoiksi ja jotka palvelevat kaikkia niille lähetettyjä pyyntöjä, joidenkin raporttien mukaan määrä on miljoonia. Tämä valtava määrä tekee hyökkäyksen ennalta tunnistamisen IP-maineen avulla hyvin vaikeaksi. Lisäksi palvelimet ovat itse asiassa laillisia palvelimia, jotka yleensä lähettävät laillista liikennettä, mikä saa minkä tahansa IP-mainepalvelun hämmentymään siitä, onko niiden luonne pahansuopa vai ei.

Suuri osa DNS-kyselyistä lähetetään UDP:tä käyttäen, joka on protokolla, joka ei mahdollista lähde-IP:n validointia. Tämän vuoksi välikätenä toimiva DNS-palvelin olettaa, että pyynnöt tulevat uhrilta, ja lähettää vastaukset takaisin tälle. IP-huijauksen ansiosta uhrin palvelimen on erittäin vaikea havaita hyökkääjää, koska se näyttää siltä, että sitä vastaan hyökkää laillinen DNS-palvelin, ja hyökkääjän IP-osoite on täysin piilotettu. IP-väärennös myös mitätöi IP-mainepalvelut, jotka, jos niitä ei ole kirjoitettu oikein, voivat antaa huonon maineen lailliselle DNS-palvelimelle. Se poistaa myös kaiken jäljitettävyyden tietoturvaodotuksilta, jotka yrittävät tunnistaa hyökkäyksen lähteen.

Nykyaikainen verkkoverkko- ja internetin tietoliikennetekniikka, big data -tallennus- ja pilvipalveluiden tietokonepalveluliiketoimintakonsepti: palvelinhuoneen sisätilat konesalissa sinisessä valossa

Muutama spoofingin etuna on myös mahdollisuus hyökätä mihin tahansa palvelimeen tai palveluun. Hyökkääjä voi käyttää uhrin julkisen palvelimen IP:tä ja porttia varmistaakseen, että hyökkäys lähetetään mihin tahansa palveluun, ei vain DNS-palveluun. Liikenne näyttää yksinkertaisesti suurelta määrältä dataa, ja palvelimen on analysoitava ja tutkittava data varmistaakseen, ettei se ole laillista liikennettä.

Huomaa, että IP:n väärentäminen on myös tämän hyökkäyksen rajoitus – jos IP:n väärentäminen ei ole mahdollista, hyökkäystä ei voida käynnistää, koska vastauksia ei voida ohjata uhrin IP-osoitteeseen. Tämä on tilanne Mirai-bottien kohdalla, jotka toimivat IoT-laitteissa NAT:ia toteuttavan reitittimen takana. Viimeaikaiset Mirai-infektiotaktiikat tähtäävät kuitenkin itse kotireitittimiin, jolloin ohitetaan NAT-rajoitus.

Viimeisin ja suurin etu, joka vaikuttaa heijastavien DNS-tulvien tuhoisaan potentiaaliin, on vahvistaminen, joka voidaan saavuttaa DNS-laajennusten (EDNS0, määritelty RFC 2671:ssä) ja DNSSecin avulla. EDNS0:n avulla DNS-vastaus voi olla alkuperäistä 512:ta sallittua vastausta laajempi, kun taas DNSSec sallii vastauksen autentikointitarkistuksen, jolla voidaan ehkäistä välimuistien myrkyttäminen. DNSSec edellyttää EDNS0:n toimintaa, koska se lisää vastaukseen salaustietoja. Koska DNSSec on yleistymässä nykypäivän tietoturvatietoisessa internetissä, se saa yhä useammat DNS-palvelimet tukemaan EDNS0:ta ja antaa hyökkääjälle mahdollisuuden saada suuria vastauksia pyyntöihinsä.

Vastauksen mahdollinen koko – jopa 4096 tavua – antaa hyökkääjälle mahdollisuuden lähettää pienen määrän lyhyitä pyyntöjä, kun taas DNS-palvelimen lähettämiä vastauksia monistetaan huomattavasti, mikä uuvuttaa uhrin internetputken. Hyökkääjät voivat tutkia DNS-palvelinta ja selvittää, mitkä lailliset kyselyt voivat johtaa suuriin vastauksiin, ja myös DNSSecin avulla tehdä niistä vielä suurempia kryptografisilla tiedoilla. Monissa tapauksissa vastaus voi nousta maksimissaan 4096 tavuun, mikä antaa alkuperäisen pyynnön vahvistuskertoimeksi x100.

Nykyaikaisilla suurilla internet-yhteyksillä 100 M:n internet-yhteys voi lähettää vaatimattoman hyökkäyksen yksinään ja silti aiheuttaa vahinkoa normaalille sivustolle. Jos hyökkääjällä on kuitenkin mahdollisuus käyttää tätä valtavaa 4096 tavun vastausta 44 tavun pyyntöönsä ja saada 100-kertainen vahvistus, uhripalvelin saa 10 G hyökkäysliikennettä, joka ylittää sen normaalin liikennekaistanleveyden. Tällainen liikenne aiheuttaa sen, että mikä tahansa normaali palvelu menee välittömästi epäkuntoon. Kuvittele, mitä voidaan saavuttaa botnetillä, jossa on vain muutama tällainen botti.

Vastauksen kokoa lisää se, että tällaiset vastaukset eivät mahdu normaaliin IP-pakettiin. Tällaisissa tapauksissa palvelimet käyttävät IP-fragmentointimahdollisuutta, jonka avulla ne voivat jakaa viestin useisiin paketteihin. Fragmentoidun liikenteen käyttäminen hyökkäyksessä vaikeuttaa hyökkäyksen lieventämistä entisestään – lieventäjän on tallennettava ensimmäisen paketin kerroksen 4 tiedot (UDP-portit) taulukkoon ja sovellettava sitä saman viestin muihin paketteihin. Monet verkkoyksiköt uupuvat nopeasti suuresta määrästä fragmentoitunutta liikennettä, mikä tekee tästä hyökkäyksestä entistäkin tehokkaamman.

Radwaren YouTube DNS-vahvistushyökkäysvideo havainnollistaa graafisesti heijastavan DNS-hyökkäyksen rakennetta ja kulkua.

Oppiuduttuaan kaikista DNS-heijastushyökkäyksen sisäpiirteistä jää jäljelle vain yksi asia – miten organisaatiota voi suojata tällaiselta hyökkäykseltä ja lieventää sitä? Toisin kuin itse hyökkäyksen hienostuneisuuteen, tähän ongelmaan on tunnettu ratkaisu – DNS-heijastushyökkäyksen lieventämiseksi paikan päällä on oltava hyvä ilmaisin, joka havaitsee hyökkäyksen nopeasti ja estää käyttökatkokset. Ilmaisimen pitäisi olla tarpeeksi älykäs ymmärtääkseen, että sen havaitsema hyökkäys kyllästää internetyhteyden ja että liikenne on ohjattava pilvipesukeskukseen. Kun liikenne on ohjattu pilvipesukeskukseen, se puhdistetaan ja lähetetään sivustolle.

Pesu itsessään riippuu vastaavanlaisen lailliseksi katsotun liikenteen määrästä – näkeekö sivusto paljon UDP-liikennettä? DNS-liikennettä? Fragmentoitunutta liikennettä? Ja jos on, mikä erottaa sen hyökkäysliikenteestä? Käyttämällä automatisoitua tekniikkaa laillisen ja hyökkäysliikenteen erottamiseksi toisistaan saat hyvän ja nopean pilvien torjunnan ja myös mielenrauhan.

Lisätietoa löydät edellisestä blogistani: DNS ja DNS-hyökkäykset

Lue ”Turvallisen ympäristön luominen heikosti suojatuille API:ille” saadaksesi lisätietoja.

Lataa nyt

Vastaa

Sähköpostiosoitettasi ei julkaista.