Pokud jste před několika týdny nebyli připojeni k internetu, možná vám unikl masivní výpadek, který zasáhl východní pobřeží v říjnu. 21
Mnoho populárních webových stránek, jako jsou Twitter, Reddit, Netflix, Etsy a Spotify, bylo pro tisíce uživatelů nedostupných.
Od té doby odborníci prohlásili, že výpadek byl důsledkem obrovského útoku na služby DNS společnosti Dyn, která se zabývá internetovou infrastrukturou.
Obavy z útoků na DNS zůstávaly u mnoha firem i IT společností v pozadí – to se však možná mění.
Společnosti jako Google, The New York Times a několik bank se v posledních letech staly oběťmi různých útoků na DNS.
Vzhledem k tomu, že podobné útoky jistě přijdou, na jaké typy útoků byste si měli dát pozor?
Útok č. 1: Poisoning DNS a spoofing
Poisoning DNS může v konečném důsledku uživatele přesměrovat na špatné webové stránky. Uživatel může například do webového prohlížeče zadat „msn.com“, ale místo toho se načte stránka vybraná útočníkem.
Protože uživatelé zadávají správný název domény, nemusí si uvědomit, že webová stránka, kterou navštěvují, je falešná.
To vytváří pro útočníky ideální příležitost, aby pomocí technik phishingu vydolovali z nic netušících obětí informace – ať už přihlašovací údaje, nebo informace o kreditních kartách.
Útok může mít ničivé následky v závislosti na několika faktorech, včetně záměru útočníka a rozsahu otravy DNS.
Jak to útočníci dělají? Zneužitím systému ukládání do mezipaměti DNS.
Ukládání do mezipaměti DNS
Ukládání do mezipaměti DNS se používá na celém webu ke zrychlení načítání a snížení zátěže serverů DNS. Stručně řečeno, jakmile se systém zeptá serveru DNS a obdrží odpověď, uloží informace do místní mezipaměti pro rychlejší vyhledávání.
Tento přístup se používá napříč webem způsobem trickle-down. Záznamy na jednom serveru DNS se používají k ukládání záznamů do mezipaměti na jiném serveru DNS. Tento server se používá k ukládání záznamů DNS do mezipaměti v síťových systémech, jako jsou směrovače. Tyto záznamy se používají k vytvoření mezipaměti na místních počítačích.
Otrávení mezipaměti DNS
K otrávení DNS dochází, když je jedna z těchto mezipamětí kompromitována.
Pokud je například kompromitována mezipaměť na síťovém směrovači, může být každý, kdo ji používá, nesprávně přesměrován na podvodné webové stránky. Falešné záznamy DNS pak proniknou až do mezipaměti DNS v počítači každého uživatele.
K tomu může dojít i výše v řetězci.
Například může být kompromitován hlavní server DNS. Tím může dojít k otrávení mezipaměti serverů DNS spravovaných poskytovateli internetových služeb. Tento jed může proniknout až do síťových systémů a zařízení jejich zákazníků a potenciálně přesměrovat miliony lidí na webové stránky vybrané útočníkem.
Zní to šíleně? Není. V roce 2010 byly uživatelům internetu v USA zablokovány stránky jako Facebook a YouTube, protože server DNS u vysoce postaveného poskytovatele internetového připojení omylem načetl záznamy z Velké čínské brány firewall.
Antidotum na jed
DNS cache poisoning je velmi obtížné odhalit. Může trvat, dokud nevyprší TTL neboli doba do přežití dat v mezipaměti nebo dokud si to správce neuvědomí a problém nevyřeší.
V závislosti na délce TTL může trvat i několik dní, než servery problém samy vyřeší.
Mezi nejlepší metody, jak zabránit útoku DNS cache poisoning, patří pravidelná aktualizace programů, nastavení krátkých dob TTL a pravidelné čištění mezipaměti DNS místních počítačů a síťových systémů.
Útok č. 2: Zesílení DNS pro DDoS
Útoky zesílení DNS nejsou hrozbou pro systémy DNS. Místo toho využívají otevřenou povahu služeb DNS k posílení síly útoků DDoS (distributed denial of service).
Útoky DDoS nejsou v centru pozornosti a jejich cílem jsou známé weby, jako jsou BBC, Microsoft, Sony a Krebs on Security.
Zesílení a zesílení
K útokům DDoS obvykle dochází pomocí botnetu. Útočník používá síť počítačů infikovaných malwarem k odesílání velkého množství provozu na cíl, například server. Cílem je přetížení cíle a jeho zpomalení nebo zhroucení.
Útoky s amplifikací přidávají větší razanci. Místo toho, aby botnet posílal provoz přímo oběti, posílá požadavky jiným systémům. Tyto systémy reagují odesláním ještě většího objemu provozu oběti.
Dokonalým příkladem jsou zesilovací útokyDNS. Útočníci používají botnet k odesílání tisíců požadavků na vyhledávání na otevřené servery DNS. Tyto požadavky mají podvrženou zdrojovou adresu a jsou nakonfigurovány tak, aby maximalizovaly množství dat vrácených každým serverem DNS.
Výsledek: útočník odesílá relativně malé množství provozu z botnetu a generuje úměrně větší – neboli „zesílený“ – objem provozu ze serverů DNS. Zesílený provoz je směrován na oběť, což způsobí selhání systému.
Odrazit a bránit se
Brány firewall UTM lze nakonfigurovat tak, aby rozpoznaly a zastavily útoky DDoS v okamžiku jejich vzniku tím, že zahazují umělé pakety, které se snaží zaplavit systémy v síti.
Dalším způsobem boje proti útokům DDoS je hostování architektury klienta na více serverech. Tímto způsobem bude v případě přetížení jednoho serveru stále k dispozici jiný server.
Je-li útok malý, lze zablokovat IP adresy odesílající provoz. Navíc zvýšení šířky pásma serveru mu může umožnit útok absorbovat.
Existuje také mnoho specializovaných placených řešení, která jsou určena výhradně k boji proti útokům DDoS.
Útok č. 3: DNS napaden DDoS
Útoky DDoS lze použít proti mnoha různým typům systémů. Patří mezi ně i servery DNS.
Úspěšný útok DDoS na server DNS může způsobit jeho zhroucení, což znemožní uživatelům, kteří se na tento server spoléhají, procházet web (poznámka: uživatelé se pravděpodobně stále budou moci dostat na webové stránky, které nedávno navštívili, za předpokladu, že záznam DNS je uložen v místní mezipaměti).
To se stalo službám DNS společnosti Dyn, jak je popsáno v úvodu tohoto příspěvku. Útok DDoS zahltil systémy společnosti a způsobil jejich zhroucení, což znemožnilo tisícům lidí přístup k významným webovým stránkám.
Jak se proti těmto útokům bránit, závisí na roli vašich systémů v prostředí.
Hostujete například server DNS? V takovém případě můžete podniknout kroky na jeho ochranu, například jej udržovat záplatovaný a povolit k němu přístup pouze místním počítačům.
Možná se snažíte dostat na napadený server DNS? V tomto případě budete mít pravděpodobně problémy s připojením.
Proto je dobré nakonfigurovat systémy tak, aby se spoléhaly na více než jeden server DNS. Tak budete mít v případě výpadku primárního serveru k dispozici jiný jako záložní.
Doporučujeme bezplatné veřejné servery DNS společnosti Google: 8.8.8.8 a 8.8.4.4. K dispozici jsou také pokyny pro adresy IPv6.
Předcházení útokům a jejich zmírnění
Útoky na servery DNS představují velké riziko pro zabezpečení sítě a je třeba je brát vážně. Podniky i IT společnosti musí zavést ochranná opatření, která zabrání takovému útoku a sníží jeho dopady, pokud se někdy stanou jeho obětí.
V důsledku těchto útoků začala organizace ICANN klást důraz na tato rizika pomocí technologie DNSSEC, která je na vzestupu a slouží k prevenci útoků na servery DNS.
DNSSEC v současné době funguje tak, že každý požadavek DNS „podepisuje“ certifikovaným podpisem, který zajišťuje jeho pravost. To pomáhá serverům vyřadit falešné požadavky.
Jedinou nevýhodou této technologie je skutečnost, že musí být implementována ve všech fázích protokolu DNS, aby správně fungovala – což se pomalu, ale jistě daří.
Sledování vyvíjející se technologie, jako je DNSSEC, a také sledování nejnovějších útoků na DNS je dobrým způsobem, jak zůstat na špici.
.