3 yleistä DNS-hyökkäystä ja niiden torjunta

Jollet ollut liimautuneena internetiin muutama viikko sitten, et ehkä huomannut massiivista katkosta, joka iski itärannikolle lokakuussa. 21

Monet suositut verkkosivustot, kuten Twitter, Reddit, Netflix, Etsy ja Spotify, olivat saavuttamattomissa tuhansilta käyttäjiltä.

Asiantuntijat ovat sittemmin ilmoittaneet, että katkos oli seurausta valtavasta hyökkäyksestä, joka kohdistui DNS-palveluihin internetin infrastruktuuriyrityksessä Dynissä.

Huolet DNS-hyökkäyksistä ovat jääneet taka-alalle monissa yrityksissä ja tietotekniikkayrityksissä – mutta tämä saattaa olla muuttumassa.

Yritykset, kuten Google, The New York Times ja useat pankit, ovat joutuneet erilaisten DNS-hyökkäysten uhreiksi viime vuosina.

Varmasti vastaavia hyökkäyksiä on tulossa, mutta millaisia hyökkäystyyppejä sinun tulisi varoa?

Hyökkäys #1: DNS-myrkytys ja väärennös

DNS-myrkytys voi lopulta ohjata käyttäjät väärälle verkkosivustolle. Käyttäjä voi esimerkiksi syöttää selaimeen ”msn.com”, mutta sen sijaan latautuu hyökkääjän valitsema sivu.

Koska käyttäjät kirjoittavat oikean verkkotunnuksen, he eivät välttämättä tajua, että heidän vierailemansa verkkosivusto on väärennös.

Tämä luo hyökkääjille täydellisen tilaisuuden käyttää phishing-tekniikoita tietojen – olivatpa ne sitten kirjautumistunnuksia tai luottokorttitietoja – louhimiseen pahaa-aavistamattomilta uhreilta.

Hyökkäys voi olla tuhoisa riippuen useista tekijöistä, kuten hyökkääjän aikomuksesta ja DNS-myrkytyksen laajuudesta.

Miten hyökkääjät tekevät tämän? Hyödyntämällä DNS-välimuistiojärjestelmää.

Trickle-down DNS-välimuistio

DNS-välimuistiointia käytetään kaikkialla verkossa nopeuttamaan latausaikoja ja vähentämään DNS-palvelinten kuormitusta. Lyhyesti sanottuna, kun järjestelmä kysyy DNS-palvelimelta ja saa vastauksen, se tallentaa tiedot paikalliseen välimuistiin nopeampaa käyttöä varten.

Tätä lähestymistapaa käytetään kaikkialla verkossa trickle-down-periaatteella. Yhden DNS-palvelimen tietueita käytetään toisen DNS-palvelimen tietueiden välimuistiin tallentamiseen. Tätä palvelinta käytetään DNS-tietueiden välimuistiin tallentamiseen verkkojärjestelmissä, kuten reitittimissä. Näitä tietueita käytetään luomaan välimuistitietoja paikallisiin koneisiin.

Myrkytetyt DNS-välimuistit

DNS-myrkytys tapahtuu, kun jokin näistä välimuisteista on vaarantunut.

Verkon reitittimen välimuisti on esimerkiksi vaarantunut, jolloin sitä käyttävä henkilö voidaan ohjata harhaan petolliselle verkkosivustolle. Väärät DNS-tietueet valuvat sitten alaspäin kunkin käyttäjän koneen DNS-välimuistiin.

Tämä voi tapahtua myös ketjussa ylempänä.

Esimerkiksi suuri DNS-palvelin voidaan vaarantaa. Tämä voi myrkyttää internet-palveluntarjoajien ylläpitämien DNS-palvelimien välimuistit. Myrkky voi valua alaspäin heidän asiakkaidensa verkkojärjestelmiin ja -laitteisiin ja mahdollisesti ohjata miljoonia ihmisiä hyökkääjän valitsemille verkkosivustoille.

Kuulostaa hullulta? Ei ole. Vuonna 2010 internetin käyttäjiltä eri puolilla Yhdysvaltoja estettiin Facebookin ja YouTuben kaltaiset sivustot, koska erään korkean tason Internet-palveluntarjoajan DNS-palvelin haki vahingossa tietueita Kiinan suuresta palomuurista.

Vastalääke myrkylle

DNS-välimuistitietovälin myrkytystä on hyvin vaikea havaita. Se voi kestää, kunnes TTL eli time to live -aika päättyy välimuistissa olevissa tiedoissa tai kunnes ylläpitäjä huomaa ja ratkaisee ongelman.

TTL:n kestosta riippuen palvelimilla voi kestää päiviä, ennen kuin ongelma ratkeaa itsestään.

Parhaita menetelmiä DNS-välimuistin myrkytyshyökkäyksen estämiseksi ovat muun muassa ohjelmien säännöllinen päivittäminen, lyhyiden TTL-aikojen asettaminen ja paikallisten koneiden ja verkkojärjestelmien DNS-välimuistien säännöllinen tyhjentäminen.

Hyökkäys nro 2: DNS-vahvistushyökkäys DDoS-tarkoituksessa

DNS-vahvistushyökkäykset eivät ole DNS-järjestelmiin kohdistuvia uhkia. Sen sijaan ne hyödyntävät DNS-palveluiden avointa luonnetta DDoS-hyökkäysten (Distributed Denial of Service) voiman vahvistamiseksi.

DDoS-hyökkäykset eivät ole vieraita julkisuudessa, sillä ne kohdistuvat tunnetuille sivustoille, kuten BBC:lle, Microsoftille, Sonylle ja Krebs on Securitylle.

Vahvista ja vahvista

DDoS-hyökkäykset tapahtuvat tyypillisesti bottiverkon avulla. Hyökkääjä käyttää haittaohjelmien saastuttamien tietokoneiden verkkoa lähettääkseen suuria määriä liikennettä kohteeseen, kuten palvelimeen. Tavoitteena on ylikuormittaa kohde ja hidastaa tai kaataa se.

Vahvistushyökkäykset lisäävät tehoa. Sen sijaan, että liikennettä lähetettäisiin suoraan bottiverkosta uhrille, bottiverkko lähettää pyyntöjä muille järjestelmille. Nämä järjestelmät vastaavat lähettämällä vielä suurempia määriä liikennettä uhrille.

DNS-vahvistushyökkäykset ovat täydellinen esimerkki. Hyökkääjät käyttävät bottiverkkoa lähettääkseen tuhansia hakupyyntöjä avoimille DNS-palvelimille. Pyynnöissä on väärennetty lähdeosoite, ja ne on konfiguroitu siten, että kunkin DNS-palvelimen palauttama tietomäärä maksimoidaan.

Tulos: hyökkääjä lähettää suhteellisen pieniä määriä liikennettä bottiverkosta ja tuottaa suhteessa suurempia – tai ”vahvistettuja” – liikennemääriä DNS-palvelimilta. Vahvistettu liikenne ohjataan uhrille, jolloin järjestelmä horjuu.

Torju ja puolusta

UTM-palomuurit voidaan konfiguroida tunnistamaan ja pysäyttämään DDoS-hyökkäykset niiden tapahtuessa hylkäämällä keinotekoisia paketteja, jotka yrittävät tulvia verkossa oleviin järjestelmiin.

Muuten DDoS-hyökkäyksiä voidaan torjua isännöimällä asiakasarkkitehtuuria useilla palvelimilla. Näin jos yksi palvelin ylikuormittuu, toinen palvelin on edelleen käytettävissä.

Jos hyökkäys on pieni, liikennettä lähettävät IP-osoitteet voidaan estää. Lisäksi palvelimen kaistanleveyden kasvattaminen voi mahdollistaa sen, että se pystyy ottamaan hyökkäyksen vastaan.

On olemassa myös monia erityisiä, maksullisia ratkaisuja, jotka on suunniteltu yksinomaan DDoS-hyökkäysten torjuntaan.

Hyökkäys #3: DNS:n kimppuun hyökätään DDoS-hyökkäyksellä

DDoS-hyökkäyksiä voidaan käyttää monenlaisia järjestelmiä vastaan. Näihin kuuluvat myös DNS-palvelimet.

Onnistunut DDoS-hyökkäys DNS-palvelinta vastaan voi aiheuttaa sen kaatumisen, jolloin palvelimeen tukeutuvat käyttäjät eivät pysty selaamaan verkkoa (huomautus: käyttäjät pääsevät todennäköisesti edelleen verkkosivustoille, joilla he ovat käyneet hiljattain, olettaen, että DNS-tietue on tallennettu paikalliseen välimuistiin).

Juuri näin kävi Dynin DNS-palveluiden kohdalla, kuten kuvailtiin tämän postauksen alussa. DDoS-hyökkäys ylikuormitti yrityksen järjestelmät ja aiheutti niiden kaatumisen, mikä esti tuhansia ihmisiä pääsemästä tärkeille verkkosivustoille.

Miten tällaisilta hyökkäyksiltä voi puolustautua, riippuu järjestelmiesi roolista ympäristössä.

Hostaatko esimerkiksi DNS-palvelinta? Siinä tapauksessa voit ryhtyä toimenpiteisiin sen suojaamiseksi, esimerkiksi pitämällä sen korjattuna ja sallimalla vain paikallisten koneiden käyttää sitä.

Ehkä yrität tavoittaa DNS-palvelinta, johon hyökätään? Tässä tapauksessa sinulla on todennäköisesti ongelmia yhteyden muodostamisessa.

Tässä tapauksessa on hyvä ajatus konfiguroida järjestelmät tukeutumaan useampaan kuin yhteen DNS-palvelimeen. Näin jos ensisijainen palvelin kaatuu, sinulla on toinen varapalvelin.

Suosittelemme Googlen ilmaisia julkisia DNS-palvelimia: 8.8.8.8.8 ja 8.8.4.4. Ohjeita on saatavilla myös IPv6-osoitteita varten.

Hyökkäysten ehkäiseminen ja lieventäminen

DNS-palvelinhyökkäykset ovat merkittävä verkon tietoturvariski, ja niihin tulisi suhtautua vakavasti. Sekä yritysten että tietotekniikkayritysten on otettava käyttöön suojatoimia estääkseen ja vähentääkseen tällaisen hyökkäyksen vaikutuksia, jos ne joskus joutuvat hyökkäyksen uhriksi.

Hyökkäysten seurauksena ICANN on alkanut korostaa näitä riskejä DNSSEC:llä, joka on nouseva tekniikka, jota käytetään DNS-palvelinhyökkäysten estämiseen.

DNSSEC toimii tällä hetkellä ”allekirjoittamalla” jokaisen DNS-pyynnön sertifioidulla allekirjoituksella aitouden varmistamiseksi. Tämä auttaa palvelimia karsimaan väärennetyt pyynnöt.

Tekniikan ainoa haittapuoli on se, että se on otettava käyttöön DNS-protokollan kaikissa vaiheissa, jotta se toimisi kunnolla – mikä on hitaasti, mutta varmasti tulossa.

DNSSEC:n kaltaisten kehittyvien tekniikoiden seuraaminen sekä viimeisimpien DNS-hyökkäyksien seuraaminen on hyvä keino pysyä kehityksen kärjessä.

Vastaa

Sähköpostiosoitettasi ei julkaista.