DNS reflekterande attacker

jul 27, 2021
admin

En DNS reflekterande attack används i många DDoS-attacker (distributed denial-of-service) för att slå ut en internetledning. Attacken är en tvåstegsattack; angriparen skickar en stor mängd förfrågningar till en eller flera legitima DNS-servrar samtidigt som han eller hon använder en förfalskad käll-IP för måloffret. Den DNS-server som tar emot de halvlegitima förfrågningarna svarar på den förfalskade IP:n och startar därmed omedvetet en attack mot offret med svar på förfrågningar som offret aldrig skickat.

Internet är fullt av DNS-servrar som erbjuds som öppna resolutionsservrar och som kommer att betjäna alla förfrågningar som skickas till dem, enligt vissa rapporter handlar det om miljontals förfrågningar. Detta enorma antal gör det mycket svårt att i förväg identifiera attacken med hjälp av IP-rykte. Dessutom är servrarna i själva verket legitima servrar som vanligtvis skickar legitim trafik, vilket gör att alla IP-representationstjänster blir förvirrade om huruvida deras natur är skadlig eller inte.

De flesta DNS-förfrågningar skickas med hjälp av UDP, ett protokoll som inte gör det möjligt att validera källans IP-adress. Därför antar den mellanliggande DNS-servern att förfrågningarna kommer från offret och skickar svaren tillbaka till honom. IP-spoofing gör det extremt svårt för offrets server att upptäcka angriparen, eftersom det ser ut som om den angrips av en legitim DNS-server och angriparens IP är helt dold. IP-spoofing ogiltigförklarar också IP-reputationstjänster som, om de inte är korrekt skrivna, kan ge en legitim DNS-server ett dåligt rykte. Det tar också bort alla möjligheter för säkerhetspersonal som förväntar sig att försöka identifiera angreppskällan.

Modernt webbnätverk och telekommunikationsteknik för internet, lagring av stora data och molntjänster för datatjänster: serverrumsinteriör i datacenter i blått ljus

En annan fördel för spoofing är möjligheten att angripa vilken server eller tjänst som helst. Angriparen kan använda offrets offentliga server-IP och port för att se till att attacken skickas till vilken tjänst som helst, inte bara till en DNS-tjänst. Trafiken kommer helt enkelt att se ut som en massa data och servern måste analysera och undersöka data för att säkerställa att det inte är legitim trafik.

Bemärk att IP-spoofing också är en begränsning för denna attack – om IP-spoofing inte är möjligt kan attacken inte inledas eftersom det inte finns något sätt att styra svaren till offrets IP. Detta är fallet med Mirai-robotarna som körs på IoT-enheter bakom en router som utför NAT. De senaste Mirai-infektionstaktikerna riktar sig dock mot hemmets egna routrar och kringgår därmed NAT-begränsningen.

Den senaste och största fördelen som bidrar till den destruktiva potentialen hos reflekterande DNS-flöden är förstärkning, vilket kan uppnås med hjälp av DNS-tillägg (EDNS0, definierat i RFC 2671) och DNSSec. EDNS0 gör det möjligt för DNS-svaret att vara större än de ursprungliga 512 som tillåts, medan DNSSec gör det möjligt att autentisera svaret för att förhindra cache-poisoning. DNSSec kräver EDNS0 för att fungera eftersom det lägger till kryptografiska data i svaret. Eftersom DNSSec blir populärt på dagens säkerhetsmedvetna internet gör det att fler och fler DNS-servrar stöder EDNS0 och gör det möjligt för en angripare att få stora svar på sina förfrågningar.

Den möjliga storleken på svaret – upp till 4 096 bytes, gör det möjligt för angriparen att skicka ett litet antal korta förfrågningar, medan svaren som skickas av DNS-servern förstärks kraftigt, vilket gör att offrets internetledning blir uttömd. Angripare kan studera DNS-servern och hitta vilka legitima förfrågningar som kan resultera i stora svar, och även använda DNSSec för att göra dem ännu större med kryptografiska data. I många fall kan svaret komma upp till maximalt 4096 bytes, vilket ger en förstärkningsfaktor på x100 för den ursprungliga förfrågan.

Med dagens stora internetanslutningar kan en 100 M-anslutning till internet skicka en blygsam attack på egen hand och ändå orsaka viss skada på en normal webbplats. Men om angriparen har möjlighet att använda detta enorma svar på 4096 bytes för sin 44bytes-förfrågan och få 100x förstärkning, kommer offrets server att få 10 G angreppstrafik, över sin normala trafikbandbredd. En sådan trafik kommer att leda till att alla normala tjänster omedelbart blir ur funktion. Föreställ er vad som kan åstadkommas med ett botnät med ett fåtal sådana robotar.

Till svarets storlek kommer det faktum att sådana svar inte kan rymmas i ett normalt IP-paket. I sådana fall använder servrar IP-fragmenteringsalternativet, som gör att de kan dela upp meddelandet i flera paket. Att använda fragmenterad trafik i attacken gör det ännu svårare att mildra attacken – den som mildrar attacken måste lagra det första paketets lager 4-data (UDP-portar) i en tabell och tillämpa den på resten av paketen från samma meddelande. Många nätverksenheter blir snabbt utmattade av mycket fragmenterad trafik, vilket gör den här attacken ännu effektivare.

Radwares YouTube Video om DNS-förstärkningsattack illustrerar grafiskt strukturen och flödet av en reflekterande DNS-attack.

Efter att ha lärt sig allt om den reflekterande DNS-attacken återstår en sak – hur ska en organisation skyddas mot en sådan attack och hur ska man mildra den? Till skillnad från själva angreppets sofistikering har detta problem en känd lösning – för att mildra ett DNS-reflexionsangrepp måste man ha en bra detektor på plats för att snabbt upptäcka angreppet och förhindra driftstopp. Detektorn bör vara tillräckligt smart för att förstå att attacken den ser mättar internetanslutningen och att trafiken måste omdirigeras till ett centrum för molnborttagning. När trafiken väl har omdirigerats till cloud scrubbing kommer den att rensas och skickas till webbplatsen.

Själva scrubbingen beror på mängden liknande trafik som anses vara laglig – ser webbplatsen mycket UDP-trafik? DNS-trafik? Fragmenterad trafik? Och i så fall, vad skiljer den från attacktrafiken? Om du använder en automatiserad teknik för att skilja den legitima trafiken från angreppstrafiken kommer du att få en bra och snabb molnbekämpning och även en viss sinnesro.

För mer information kan du läsa min tidigare blogg: Läs min senaste blogg: DNS och DNS-attacker

Läs ”Skapa en säker miljö för otillräckligt skyddade API:er” för att få veta mer.

Ladda ner nu

Lämna ett svar

Din e-postadress kommer inte publiceras.