Hacsak nem ragaszkodtál az internethez néhány héttel ezelőtt, lehet, hogy nem vetted észre a hatalmas kiesést, amely a keleti partot érte októberben. 21-én
Néhány népszerű weboldal, például a Twitter, a Reddit, a Netflix, az Etsy és a Spotify nem volt elérhető több ezer felhasználó számára.
A szakértők azóta kijelentették, hogy az üzemzavar a Dyn, egy internetes infrastruktúra-szolgáltató cég DNS-szolgáltatásai elleni hatalmas támadás eredménye volt.
A DNS-támadásokkal kapcsolatos aggodalmak sok vállalat és informatikai cég számára eddig háttérbe szorultak – de ez talán megváltozik.
Az elmúlt években olyan vállalatok, mint a Google, a The New York Times és több bank is különböző DNS-támadások áldozatául esett.
Mivel a hasonló támadások biztosan jönnek, milyen típusokra kell figyelni?
Attack #1: DNS-mérgezés és spoofing
A DNS-mérgezés végső soron rossz weboldalra irányíthatja a felhasználókat. A felhasználó például beírhatja a böngészőbe az “msn.com” címet, de helyette egy, a támadó által kiválasztott oldal töltődik be.
Mivel a felhasználók a helyes tartománynevet írják be, nem biztos, hogy észreveszik, hogy a meglátogatott weboldal hamis.
Ez tökéletes lehetőséget teremt a támadók számára, hogy adathalász technikákat alkalmazva adatokat – legyen szó bejelentkezési adatokról vagy hitelkártyaadatokról – nyerjenek ki a gyanútlan áldozatokból.
A támadás több tényezőtől, többek között a támadó szándékától és a DNS-mérgezés mértékétől függően pusztító lehet.
Hogyan csinálják ezt a támadók? A DNS gyorsítótárazási rendszer kihasználásával.
Trickle-down DNS caching
A DNS gyorsítótárazást az egész weben használják a betöltési idők gyorsítására és a DNS-kiszolgálók terhelésének csökkentésére. Dióhéjban, amint egy rendszer lekérdez egy DNS-kiszolgálót, és megkapja a választ, a gyorsabb hivatkozás érdekében elmenti az információt egy helyi gyorsítótárban.
Ezt a megközelítést az egész weben csepegtetett módon használják. Az egyik DNS-kiszolgálón lévő rekordokat egy másik DNS-kiszolgáló rekordjainak gyorsítótárazására használják. Ezt a kiszolgálót a hálózati rendszerek, például útválasztók DNS-rekordjainak gyorsítótárazására használják. Ezeket a rekordokat a helyi gépeken lévő gyorsítótárak létrehozására használják.
Mérgezett DNS-cache-ek
DNS-mérgezés akkor történik, ha az egyik ilyen gyorsítótárat veszélyeztetik.
Ha például egy hálózati router gyorsítótárát veszélyeztetik, akkor az azt használókat egy csalárd weboldalra irányíthatják. A hamis DNS-rekordok ezután az egyes felhasználók gépén lévő DNS-cache-ekbe szivárognak le.
Ez a lánc magasabb szintjén is előfordulhat.
Például egy nagyobb DNS-kiszolgálót is megtámadhatnak. Ez megmérgezheti az internetszolgáltatók által fenntartott DNS-kiszolgálók gyorsítótárát. A méreg átterjedhet az ügyfeleik hálózati rendszereire és eszközeire, és potenciálisan emberek millióit irányíthatja a támadó által kiválasztott weboldalakra.
Őrültségnek hangzik? Nem az. 2010-ben az Egyesült Államokban az internetfelhasználók számára blokkolták az olyan oldalakat, mint a Facebook és a YouTube, mert egy magas szintű internetszolgáltató DNS-kiszolgálója véletlenül a kínai Nagy Tűzfalról hívott le bejegyzéseket.
A méreg ellenszere
A DNS-cache-mérgezést nagyon nehéz felderíteni. Addig tarthat, amíg a TTL, vagyis az élési idő le nem jár a gyorsítótárazott adatokon, vagy amíg egy rendszergazda fel nem ismeri és meg nem oldja a problémát.
A TTL időtartamától függően napokig is eltarthat, amíg a szerverek maguktól megoldják a problémát.
A DNS cache poisoning támadás megelőzésének legjobb módszerei közé tartozik a programok rendszeres frissítése, a rövid TTL-idők beállítása, valamint a helyi gépek és hálózati rendszerek DNS-cache-einek rendszeres törlése.
Támadás #2: DNS-erősítés DDoS célokra
A DNS-erősítési támadások nem a DNS-rendszerek elleni fenyegetések. Ehelyett kihasználják a DNS-szolgáltatások nyílt jellegét, hogy erősítsék az elosztott szolgáltatásmegtagadási (DDoS) támadások erejét.
A DDoS-támadások nem idegenek a reflektorfénytől, olyan jól ismert webhelyek ellen irányulnak, mint a BBC, a Microsoft, a Sony és a Krebs on Security.
Forrás és erősítés
A DDoS-támadások jellemzően botnet segítségével történnek. A támadó rosszindulatú szoftverekkel fertőzött számítógépek hálózatát használja arra, hogy nagy mennyiségű adatforgalmat küldjön egy célpontra, például egy szerverre. A cél a célpont túlterhelése és lelassítása vagy összeomlása.
Az erősítő támadások még nagyobb ütést adnak. Ahelyett, hogy a botnet közvetlenül a botnetből küldene forgalmat az áldozatnak, a botnet kéréseket küld más rendszereknek. Ezek a rendszerek válaszul még nagyobb mennyiségű forgalmat küldenek az áldozatnak.
A DNS-erősítő támadások tökéletes példát jelentenek. A támadók egy botnet segítségével több ezer keresési kérést küldenek a nyitott DNS-kiszolgálóknak. A kérések hamisított forráscímmel rendelkeznek, és úgy vannak beállítva, hogy maximalizálják az egyes DNS-kiszolgálók által visszaküldött adatok mennyiségét.
Az eredmény: a támadó viszonylag kis mennyiségű forgalmat küld a botnetről, és arányosan nagyobb – vagy “felerősített” – forgalmat generál a DNS-kiszolgálókról. A felerősített forgalmat egy áldozatra irányítják, ami a rendszer meghibásodását okozza.
Védekezz és védekezz
AUTM tűzfalakat úgy lehet konfigurálni, hogy felismerjék és megállítsák a DDoS-támadásokat, amint azok bekövetkeznek, a hálózaton lévő rendszereket elárasztani próbáló mesterséges csomagok eldobásával.
A DDoS-támadások elleni küzdelem másik módja, hogy az ügyfél architektúráját több szerveren hosztolja. Így, ha az egyik szerver túlterhelté válik, egy másik szerver még mindig rendelkezésre áll.
Ha a támadás kicsi, a forgalmat küldő IP-címek blokkolhatók. Emellett a szerver sávszélességének növelése lehetővé teheti a támadás elnyelését.
Sok olyan dedikált, fizetős megoldás is létezik, amelyet kizárólag a DDoS-támadások elleni küzdelemre terveztek.
Támadás #3: DDoS által megtámadott DNS
A DDoS-támadások számos különböző típusú rendszer ellen alkalmazhatók. Ezek közé tartoznak a DNS-kiszolgálók is.
Egy DNS-kiszolgáló elleni sikeres DDoS-támadás a DNS-kiszolgáló összeomlását okozhatja, így a kiszolgálóra támaszkodó felhasználók nem tudnak böngészni a weben (megjegyzés: a felhasználók valószínűleg továbbra is el tudják érni a nemrég meglátogatott weboldalakat, feltéve, hogy a DNS-rekordot a helyi gyorsítótárba mentették).
Ez történt a Dyn DNS-szolgáltatásával, amint azt a bejegyzés elején leírtuk. Egy DDoS-támadás túlterhelte a vállalat rendszereit, és azok összeomlását okozta, ami megakadályozta, hogy emberek ezrei elérjék a főbb webhelyeket.
Az, hogy hogyan védekezhetünk az ilyen támadások ellen, attól függ, hogy az Ön rendszerei milyen szerepet töltenek be a környezetben.
Elhelyez például DNS-kiszolgálót? Ebben az esetben vannak olyan lépések, amelyekkel megvédheti azt, például foltozva tarthatja, és csak helyi gépek számára engedélyezi a hozzáférést.
Talán Ön próbálja elérni a megtámadott DNS-kiszolgálót? Ebben az esetben valószínűleg gondjai lesznek a csatlakozással.
Ez az oka annak, hogy jó ötlet úgy konfigurálni a rendszereket, hogy egynél több DNS-kiszolgálóra támaszkodjanak. Így, ha az elsődleges szerver leáll, egy másik is rendelkezésre áll tartalékként.
A Google ingyenes nyilvános DNS-kiszolgálóit ajánljuk: 8.8.8.8.8 és 8.8.4.4. Az IPv6-címekhez is rendelkezésre állnak utasítások.
Támadások megelőzése és mérséklése
A DNS-kiszolgálók elleni támadások jelentős hálózati biztonsági kockázatot jelentenek, és komolyan kell venni őket. A vállalkozásoknak és az informatikai cégeknek egyaránt biztosítékokat kell bevezetniük az ilyen támadások megelőzésére és hatásainak csökkentésére, ha valaha is áldozatul esnének egy ilyen támadásnak.
Az ICANN az ilyen támadások hatására kezdte el hangsúlyozni ezeket a kockázatokat a DNSSEC-kel, a DNS-kiszolgáló elleni támadások megelőzésére használt, egyre növekvő technológiával.
ADNSSEC jelenleg úgy működik, hogy minden DNS-kérést hitelesített aláírással “ír alá” a hitelesség biztosítása érdekében. Ez segít a szervereknek kiszűrni a hamis kéréseket.
A technológia egyetlen hátránya, hogy a megfelelő működéshez a DNS protokoll minden szakaszában implementálni kell – ami lassan, de biztosan halad előre.
Az olyan fejlődő technológiákat, mint a DNSSEC, szemmel kell tartani, valamint naprakésznek kell maradni a legújabb DNS-támadásokkal kapcsolatban, így mindig az élen járhatunk.
