Ataki odbijające DNS
Atak odbijający DNS jest wykorzystywany w wielu rozproszonych atakach typu DDoS (Distributed Denial-of-Service) w celu wyłączenia łącza internetowego. Atak ten jest dwuetapowy; atakujący wysyła dużą ilość żądań do jednego lub więcej legalnych serwerów DNS, używając jednocześnie spoofed źródłowego IP docelowej ofiary. Serwer DNS odbierający półlegalne żądania odpowiada na spoofed IP, tym samym nieświadomie rozpoczynając atak na ofiarę ataku z odpowiedziami na żądania, których ofiara nigdy nie wysłała.
Internet jest pełen serwerów DNS oferowanych jako otwarte resolwery, które będą obsługiwać każde żądanie wysłane do nich, niektóre raporty wymieniają miliony jako ilość. Ta ogromna liczba sprawia, że bardzo trudno jest wstępnie zidentyfikować atak przy użyciu reputacji IP. Ponadto, serwery te są w rzeczywistości legalnymi serwerami, które zazwyczaj wysyłają legalny ruch, co sprawia, że każda usługa reputacji IP jest zdezorientowana co do tego, czy ich natura jest złośliwa, czy nie.
Większość zapytań DNS jest wysyłana przy użyciu UDP, protokołu, który nie umożliwia walidacji źródłowego IP. Z tego powodu pośredniczący serwer DNS zakłada, że zapytania pochodzą od ofiary i odsyła do niej odpowiedzi. Spofing IP sprawia, że serwer ofiary ma ogromne trudności z wykryciem napastnika, ponieważ wygląda tak, jakby był atakowany przez legalny serwer DNS, a IP napastnika jest całkowicie ukryte. IP spoofing unieważnia również usługi reputacji IP, które, jeśli nie są poprawnie napisane, mogą przypisać złą reputację legalnemu serwerowi DNS. Usuwa również wszelkie możliwości dla podejrzanych o bezpieczeństwo próbujących zidentyfikować źródło ataku.
Kolejną zaletą spoofingu jest możliwość zaatakowania dowolnego serwera lub usługi. Atakujący może użyć publicznego IP i portu serwera ofiary, aby upewnić się, że atak jest wysyłany do dowolnej usługi, nie tylko usługi DNS. Ruch będzie po prostu wyglądał jak duża ilość danych, a serwer będzie musiał je przetworzyć i zbadać, aby upewnić się, że nie jest to legalny ruch.
Zauważ, że spoofing IP jest również ograniczeniem tego ataku – jeśli spoofing IP nie jest możliwy, atak nie może zostać przeprowadzony, ponieważ nie ma sposobu na skierowanie odpowiedzi na IP ofiary. Tak jest w przypadku botów Mirai działających na urządzeniach IoT za routerem realizującym NAT. Jednak ostatnie taktyki infekcji Mirai celują w same routery domowe, omijając w ten sposób ograniczenie NAT.
Najnowszą i największą zaletą przyczyniającą się do destrukcyjnego potencjału refleksyjnych powodzi DNS jest amplifikacja, którą można osiągnąć za pomocą rozszerzeń DNS (EDNS0, zdefiniowanych w RFC 2671) oraz DNSSec. EDNS0 pozwala, aby odpowiedź DNS była większa niż oryginalne 512 dozwolone, podczas gdy DNSSec pozwala na uwierzytelnienie odpowiedzi, aby zapobiec zatruwaniu pamięci podręcznej. DNSSec wymaga EDNS0 do działania, ponieważ dodaje dane kryptograficzne do odpowiedzi. Ponieważ DNSSec staje się popularny w dzisiejszym, świadomym bezpieczeństwa Internecie, sprawia, że coraz więcej serwerów DNS obsługuje EDNS0 i pozwala atakującemu na uzyskanie dużych odpowiedzi na jego żądania.
Możliwy rozmiar odpowiedzi – do 4096 bajtów, pozwala atakującemu na wysłanie małej liczby krótkich żądań, podczas gdy odpowiedzi wysyłane przez serwer DNS są znacznie wzmocnione, wyczerpując rurę internetową ofiary. Atakujący mogą zbadać serwer DNS i znaleźć, które legalne zapytania mogą skutkować dużymi odpowiedziami, a także użyć DNSSec, aby jeszcze bardziej je powiększyć za pomocą danych kryptograficznych. W wielu przypadkach odpowiedź może osiągnąć maksymalnie 4096 bajtów, co daje współczynnik wzmocnienia x100 dla oryginalnego żądania.
Przy dzisiejszej dużej łączności internetowej, połączenie 100 M z Internetem może samodzielnie wysłać skromny atak i nadal spowodować pewne szkody dla normalnej strony. Jednakże, jeśli atakujący ma możliwość użycia tej ogromnej 4096 bajtowej odpowiedzi dla jego 44-bajtowego żądania i uzyskać 100x wzmocnienie, serwer ofiary otrzyma 10G ruchu atakującego, powyżej jego normalnej przepustowości ruchu. Taki ruch spowoduje, że każda normalna usługa natychmiast przestanie działać. Wyobraź sobie, co może osiągnąć botnet składający się nawet z kilku takich botów.
Do wielkości odpowiedzi dochodzi fakt, że takie odpowiedzi nie mieszczą się w normalnym pakiecie IP. W takich przypadkach serwery korzystają z opcji IP-fragmentation, która pozwala na podzielenie wiadomości na kilka pakietów. Wykorzystanie w ataku pofragmentowanego ruchu jeszcze bardziej utrudnia łagodzenie skutków ataku, gdyż musi on zapisać w tabeli dane warstwy 4 pierwszego pakietu (porty UDP) i zastosować je do pozostałych pakietów z tej samej wiadomości. Wiele jednostek sieciowych jest szybko wyczerpywanych przez dużą ilość pofragmentowanego ruchu, co czyni ten atak jeszcze bardziej efektywnym.
Radware’s YouTube DNS amplification attack Video graficznie ilustruje strukturę i przepływ ataku Reflective DNS.
Po poznaniu wszystkich tajników ataku Reflective DNS, pozostaje jedna rzecz – jak chronić organizację przed takim atakiem i łagodzić jego skutki? W przeciwieństwie do wyrafinowania samego ataku, ten problem ma znane rozwiązanie – aby złagodzić atak DNS reflection, trzeba mieć na miejscu dobry detektor, który szybko wykryje atak i zapobiegnie przestojowi. Detektor powinien być wystarczająco inteligentny, aby zrozumieć, że atak, który widzi, nasyca połączenie internetowe i ruch musi zostać przekierowany do centrum oczyszczania chmury. Gdy ruch zostanie przekierowany do centrum oczyszczania w chmurze, zostanie oczyszczony i przesłany do witryny.
Samo oczyszczanie zależy od ilości podobnego ruchu, który jest uważany za legalny – czy witryna widzi dużo ruchu UDP? Ruchu DNS? Fragmentowanego ruchu? A jeśli tak, to co odróżnia go od ruchu atakującego? Użycie zautomatyzowanej techniki do oddzielenia legalnego ruchu od ruchu ataku zapewni Ci dobre i szybkie łagodzenie skutków chmury, a także spokój ducha.
Aby uzyskać więcej informacji, sprawdź mój poprzedni blog: DNS i ataki DNS
Przeczytaj „Creating a Safe Environment for Under-Protected APIs”, aby dowiedzieć się więcej.
Download Now
.