Tenzij u een paar weken geleden aan het internet gekluisterd was, hebt u misschien de massale uitval gemist die de oostkust trof op 21 okt. 21 oktober
Veel populaire websites zoals Twitter, Reddit, Netflix, Etsy en Spotify waren voor duizenden gebruikers onbereikbaar.
Experts hebben sindsdien verklaard dat de uitval het gevolg was van een enorme aanval op DNS-diensten bij Dyn, een internetinfrastructuurbedrijf.
Zorgen over DNS-aanvallen zijn bij veel bedrijven en IT-bedrijven op de achtergrond geraakt – maar dat kan veranderen.
Bedrijven als Google, The New York Times en verschillende banken zijn de afgelopen jaren het slachtoffer geworden van een verscheidenheid aan DNS-aanvallen.
Met soortgelijke aanvallen die zeker zullen komen, voor welke soorten moet u oppassen?
Aanval # 1: DNS Poisoning en Spoofing
DNS poisoning kan gebruikers uiteindelijk naar de verkeerde website leiden. Een gebruiker kan bijvoorbeeld “msn.com” in een webbrowser invoeren, maar in plaats daarvan wordt een door de aanvaller gekozen pagina geladen.
Doordat gebruikers de juiste domeinnaam intypen, realiseren ze zich misschien niet dat de website die ze bezoeken nep is.
Dit creëert een perfecte gelegenheid voor aanvallers om phishing-technieken te gebruiken om informatie – of het nu inloggegevens of creditcardgegevens zijn – van nietsvermoedende slachtoffers te delven.
De aanval kan verwoestend zijn, afhankelijk van verschillende factoren, waaronder de intentie van de aanvaller en de omvang van DNS-poisoning.
Hoe doen aanvallers dit? Door misbruik te maken van het DNS-caching systeem.
Trickle-down DNS caching
DNS caching wordt overal op het web gebruikt om laadtijden te versnellen en de druk op DNS-servers te verminderen. In een notendop: zodra een systeem een DNS-server opvraagt en een antwoord ontvangt, slaat het de informatie op in een lokale cache voor snellere verwijzing.
Deze aanpak wordt over het hele web op een trickle-down manier gebruikt. De records op een DNS-server worden gebruikt om records op een andere DNS-server in de cache op te slaan. Die server wordt gebruikt om DNS-records op netwerksystemen zoals routers in de cache op te slaan. Deze records worden gebruikt om caches te maken op lokale machines.
Gevuilde DNS caches
DNS vergiftiging treedt op wanneer een van deze caches wordt gecompromitteerd.
Bijv. als de cache op een netwerk router wordt gecompromitteerd, dan kan iedereen die het gebruikt verkeerd worden omgeleid naar een frauduleuze website. De valse DNS-records sijpelen dan door naar de DNS-caches op de machines van elke gebruiker.
Dit kan ook hoger in de keten gebeuren.
Zo kan bijvoorbeeld een grote DNS-server worden gecompromitteerd. Dit kan de caches van DNS-servers van internet service providers vergiftigen. Het gif kan doorsijpelen naar de netwerksystemen en apparaten van hun klanten, waardoor miljoenen mensen mogelijk worden doorgestuurd naar websites die door een aanvaller zijn gekozen.
Klinkt dat gek? Dat is het niet. In 2010 werden internetgebruikers in de VS geblokkeerd van sites als Facebook en YouTube omdat een DNS-server van een ISP op hoog niveau per ongeluk records van de Great Firewall of China ophaalde.
Antidote voor het gif
DNS cache poisoning is zeer moeilijk te detecteren. Het kan duren totdat de TTL, oftewel de tijd om te leven, van de cache-gegevens afloopt of totdat een beheerder het doorheeft en het probleem oplost.
Afhankelijk van de duur van de TTL, kan het dagen duren voordat de servers het probleem zelf hebben opgelost.
De beste methoden om een DNS cache poisoning aanval te voorkomen zijn het regelmatig updaten van programma’s, het instellen van korte TTL tijden, en het regelmatig opschonen van de DNS caches van lokale machines en netwerksystemen.
Aanval #2: DNS Amplification voor DDoS
DNS amplification aanvallen zijn geen bedreigingen tegen de DNS systemen. In plaats daarvan maken ze gebruik van de open aard van DNS-diensten om de kracht van gedistribueerde DDoS-aanvallen (Distributed Denial of Service) te versterken.
DDoS-aanvallen zijn geen onbekende in de schijnwerpers, met bekende sites als BBC, Microsoft, Sony en Krebs on Security als doelwit.
Crank up and amplify
DDoS-aanvallen vinden meestal plaats met een botnet. De aanvaller gebruikt een netwerk van met malware geïnfecteerde computers om grote hoeveelheden verkeer naar een doelwit, zoals een server, te sturen. Het doel is om het doelwit te overbelasten en te vertragen of te laten crashen.
Aanvallen door middel van amplificatie voegen nog meer kracht toe. In plaats van verkeer rechtstreeks van een botnet naar een slachtoffer te sturen, stuurt het botnet verzoeken naar andere systemen. Die systemen reageren door nog grotere hoeveelheden verkeer naar het slachtoffer te sturen.
DNS amplification attacks zijn een perfect voorbeeld. Aanvallers gebruiken een botnet om duizenden lookup-verzoeken naar open DNS-servers te sturen. De verzoeken hebben een vervalst bronadres en zijn geconfigureerd om de hoeveelheid gegevens die door elke DNS-server worden geretourneerd te maximaliseren.
Het resultaat: een aanvaller verstuurt relatief kleine hoeveelheden verkeer vanuit een botnet en genereert proportioneel grotere – of “versterkte” – hoeveelheden verkeer van DNS-servers. Het versterkte verkeer wordt naar een slachtoffer geleid, waardoor het systeem hapert.
Deflecteren en verdedigen
UTM-firewalls kunnen worden geconfigureerd om DDoS-aanvallen te herkennen en te stoppen wanneer ze plaatsvinden door kunstmatige pakketten te laten vallen die systemen op het netwerk proberen te overspoelen.
Een andere manier om DDoS-aanvallen te bestrijden, is om de architectuur van uw klant op meerdere servers te hosten. Als de ene server overbelast raakt, is er nog steeds een andere beschikbaar.
Als de aanval klein is, kunnen de IP-adressen die het verkeer verzenden, worden geblokkeerd. Bovendien kan een verhoging van de bandbreedte van de server ervoor zorgen dat deze een aanval kan opvangen.
Er bestaan ook veel speciale, betaalde oplossingen die uitsluitend zijn ontworpen om DDoS-aanvallen te bestrijden.
Aanval #3: DNS aangevallen door DDoS
DDoS-aanvallen kunnen tegen veel verschillende soorten systemen worden gebruikt. Dit geldt ook voor DNS-servers.
Een succesvolle DDoS-aanval op een DNS-server kan deze laten crashen, waardoor gebruikers die afhankelijk zijn van de server niet meer op het web kunnen surfen (opmerking: gebruikers kunnen waarschijnlijk nog steeds websites bereiken die ze onlangs hebben bezocht, ervan uitgaande dat het DNS-record in een lokale cache is opgeslagen).
Dit is wat er is gebeurd met de DNS-services van Dyn, zoals beschreven in de opening van dit bericht. Een DDoS-aanval overrompelde de systemen van het bedrijf, waardoor ze crashten, waardoor duizenden mensen geen toegang meer kregen tot belangrijke websites.
Hoe u zich tegen deze aanvallen kunt verdedigen, hangt af van de rol van uw systemen in de omgeving.
Host u bijvoorbeeld een DNS-server? In dat geval zijn er stappen die u kunt nemen om deze te beschermen, zoals het gepatcht houden en alleen lokale machines toegang geven.
Probeert u misschien de aangevallen DNS-server te bereiken? In dat geval zult u waarschijnlijk problemen hebben om verbinding te maken.
Daarom is het een goed idee om uw systemen te configureren om te vertrouwen op meer dan één DNS-server. Op die manier, als de primaire server uitvalt, heb je een andere als een fall back.
Wij raden Google’s gratis Public DNS-servers: 8.8.8.8 en 8.8.4.4. Er zijn ook instructies beschikbaar voor IPv6-adressen.
Voorkom en beperk aanvallen
DNS-serveraanvallen zijn een groot netwerkbeveiligingsrisico en moeten serieus worden genomen. Zowel bedrijven als IT-bedrijven moeten voorzorgsmaatregelen nemen om de gevolgen van een dergelijke aanval te voorkomen en te beperken, mochten ze er ooit het slachtoffer van worden.
Als gevolg van dergelijke aanvallen is ICANN begonnen deze risico’s te benadrukken met DNSSEC, een opkomende technologie die wordt gebruikt voor het voorkomen van DNS-serveraanvallen.
DNSSEC werkt momenteel door elk DNS-verzoek te “ondertekenen” met een gecertificeerde handtekening om de authenticiteit te garanderen. Dit helpt servers om valse verzoeken uit te sluiten.
Het enige nadeel van deze technologie is het feit dat deze in alle fasen van het DNS-protocol moet worden geïmplementeerd om goed te werken – wat langzaam maar zeker gebeurt.
Het in de gaten houden van zich ontwikkelende technologie zoals DNSSEC en het op de hoogte blijven van de nieuwste DNS-aanvallen is een goede manier om de curve voor te blijven.
