Bez ciebie były przyklejone do Internetu kilka tygodni temu, może przegapiłeś masywny outage, który uderzył na wschodnim wybrzeżu na Oct. 21
Many popularne strony internetowe, takie jak Twitter, Reddit, Netflix, Etsy i Spotify były niedostępne dla tysięcy użytkowników.
Eksperci od tego czasu oświadczyli, że przestój był wynikiem ogromnego ataku na usługi DNS w Dyn, firmy infrastruktury internetowej.
Obawy związane z atakami DNS zostały odsunięte na dalszy plan dla wielu firm i przedsiębiorstw IT – ale to może się zmienić.
Przedsiębiorstwa takie jak Google, The New York Times i kilka banków padły ofiarą różnych ataków DNS w ostatnich latach.
Przy podobnych atakach, na jakie typy należy uważać?
Atak #1: DNS Poisoning i Spoofing
DNS poisoning może ostatecznie kierować użytkowników do niewłaściwej witryny. Na przykład, użytkownik może wpisać do przeglądarki internetowej „msn.com”, ale zamiast tego ładuje się strona wybrana przez atakującego.
Ponieważ użytkownicy wpisują poprawną nazwę domeny, mogą nie zdawać sobie sprawy, że strona, którą odwiedzają, jest fałszywa.
Tworzy to doskonałą okazję dla atakujących do wykorzystania technik phishingu w celu wydobycia informacji – czy to danych logowania, czy informacji o karcie kredytowej – od niczego niepodejrzewających ofiar.
Atak może być niszczycielski, w zależności od kilku czynników, w tym intencji atakującego i zakresu zatrucia DNS.
Jak atakujący to robią? Wykorzystując system buforowania DNS.
Buforowanie DNS typu trickle-down
Buforowanie DNS jest wykorzystywane w całej sieci WWW w celu przyspieszenia czasu ładowania i zmniejszenia obciążenia serwerów DNS. W skrócie, gdy system zapyta serwer DNS i otrzyma odpowiedź, zapisuje informacje w lokalnej pamięci podręcznej dla szybszego odniesienia.
Podejście to jest stosowane w całej sieci w sposób podstępny. Rekordy na jednym serwerze DNS są używane do buforowania rekordów na innym serwerze DNS. Ten serwer jest używany do buforowania rekordów DNS w systemach sieciowych, takich jak routery. Te rekordy są używane do tworzenia pamięci podręcznej na lokalnych maszynach.
Zatrute pamięci podręczne DNS
Zatrucie DNS występuje, gdy jedna z tych pamięci podręcznych jest zagrożona.
Na przykład, jeśli pamięć podręczna na routerze sieciowym jest zagrożona, każdy, kto jej używa, może zostać przekierowany na fałszywą stronę internetową. Fałszywe rekordy DNS są następnie przekazywane do pamięci podręcznej DNS na komputerze każdego użytkownika.
To może również wystąpić wyżej w łańcuchu.
Na przykład, główny serwer DNS może zostać skompromitowany. Może to spowodować zatrucie pamięci podręcznej serwerów DNS utrzymywanych przez dostawców usług internetowych. Trucizna może przeniknąć do systemów sieciowych i urządzeń ich klientów, potencjalnie kierując miliony ludzi na strony internetowe wybrane przez atakującego.
Brzmi szalenie? Nie jest. W 2010 r. internauci w całych Stanach Zjednoczonych zostali zablokowani na stronach takich jak Facebook i YouTube, ponieważ serwer DNS wysokiego szczebla dostawcy usług internetowych przypadkowo pobierał rekordy z Wielkiego Firewalla Chin.
Antidotum na truciznę
DNS cache poisoning jest bardzo trudny do wykrycia. Może trwać do czasu, aż TTL, czyli czas życia, wygaśnie na zbuforowanych danych lub administrator zorientuje się i rozwiąże problem.
Zależnie od czasu trwania TTL, może to zająć kilka dni, aby serwery same rozwiązały problem.
Najlepsze metody zapobiegania atakom DNS cache poisoning obejmują regularne aktualizacje programów, ustawianie krótkich czasów TTL oraz regularne czyszczenie pamięci podręcznej DNS lokalnych maszyn i systemów sieciowych.
Atak #2: DNS Amplification for DDoS
Ataki DNS amplification nie stanowią zagrożenia dla systemów DNS. Zamiast tego wykorzystują one otwartą naturę usług DNS w celu wzmocnienia siły rozproszonych ataków odmowy usługi (DDoS).
Ataki DDoS nie są obce w świetle reflektorów, a ich celem są dobrze znane witryny, takie jak BBC, Microsoft, Sony i Krebs on Security.
Wzmocnij i wzmocnij
Ataki DDoS zazwyczaj są przeprowadzane za pomocą botnetu. Atakujący wykorzystuje sieć komputerów zainfekowanych złośliwym oprogramowaniem do wysyłania dużych ilości ruchu do celu, takiego jak serwer. Celem jest przeciążenie celu i spowolnienie lub rozbicie go.
Ataki typu amplifikacja dodają więcej siły. Zamiast wysyłać ruch bezpośrednio z botnetu do ofiary, botnet wysyła żądania do innych systemów. Systemy te odpowiadają, wysyłając jeszcze większe ilości ruchu do ofiary.
Ataki typu amplifikacja DNS są doskonałym przykładem. Atakujący wykorzystują botnet do wysyłania tysięcy żądań wyszukiwania do otwartych serwerów DNS. Żądania te mają sfałszowane adresy źródłowe i są skonfigurowane tak, aby zmaksymalizować ilość danych zwracanych przez każdy serwer DNS.
Wynik: atakujący wysyła stosunkowo niewielkie ilości ruchu z botnetu i generuje proporcjonalnie większe – lub „wzmocnione” – ilości ruchu z serwerów DNS. Wzmocniony ruch jest kierowany do ofiary, powodując załamanie systemu.
Odbijaj i broń
Zapory ognioweUTM można skonfigurować tak, aby rozpoznawały i zatrzymywały ataki DDoS w momencie ich wystąpienia poprzez odrzucanie sztucznych pakietów próbujących zalać systemy w sieci.
Innym sposobem zwalczania ataków DDoS jest hostowanie architektury klienta na wielu serwerach. W ten sposób, jeśli jeden serwer zostanie przeciążony, inny serwer będzie nadal dostępny.
Jeśli atak jest niewielki, adresy IP wysyłające ruch mogą zostać zablokowane. Dodatkowo zwiększenie przepustowości serwera może umożliwić mu zaabsorbowanie ataku.
Istnieje również wiele dedykowanych, płatnych rozwiązań przeznaczonych wyłącznie do zwalczania ataków DDoS.
Atak #3: DNS atakowany przez DDoS
Ataki DDoS mogą być wykorzystywane przeciwko wielu różnym typom systemów. Obejmują one serwery DNS.
Udany atak DDoS na serwer DNS może spowodować jego awarię, sprawiając, że użytkownicy, którzy polegają na tym serwerze, nie będą w stanie przeglądać stron internetowych (uwaga: użytkownicy nadal będą prawdopodobnie w stanie dotrzeć do stron internetowych, które ostatnio odwiedzili, zakładając, że rekord DNS jest zapisany w lokalnej pamięci podręcznej).
To właśnie przydarzyło się usługom DNS firmy Dyn, jak opisano na początku tego wpisu. Atak DDoS przeciążył systemy firmy, powodując ich awarię, co uniemożliwiło tysiącom ludzi dostęp do głównych stron internetowych.
Jak bronić się przed tymi atakami zależy od roli Twoich systemów w środowisku.
Na przykład, czy hostujesz serwer DNS? W takim przypadku, istnieją kroki, które możesz podjąć, aby go chronić, takie jak utrzymywanie go załatanego i pozwalanie tylko lokalnym maszynom na dostęp do niego.
A może próbujesz dotrzeć do atakowanego serwera DNS? W tym przypadku, prawdopodobnie będziesz miał problemy z połączeniem.
Dlatego dobrym pomysłem jest skonfigurowanie systemów tak, aby polegały na więcej niż jednym serwerze DNS. W ten sposób, jeśli główny serwer przestanie działać, masz inny jako awaryjny.
Polecamy darmowe publiczne serwery DNS Google: 8.8.8.8 i 8.8.4.4. Instrukcje są również dostępne dla adresów IPv6.
Prevent and Mitigate Attacks
Ataki na serwery DNS są poważnym zagrożeniem bezpieczeństwa sieci i powinny być traktowane poważnie. Przedsiębiorstwa i firmy IT muszą wdrożyć zabezpieczenia, aby zapobiec i zmniejszyć skutki takiego ataku, jeśli kiedykolwiek padną jego ofiarą.
W wyniku takich ataków ICANN zaczęła podkreślać te zagrożenia za pomocą DNSSEC, rosnącej technologii używanej do zapobiegania atakom na serwery DNS.
DNSSEC działa obecnie poprzez „podpisywanie” każdego żądania DNS certyfikowanym podpisem, aby zapewnić autentyczność. Pomaga to serwerom odsiać fałszywe żądania.
Jedyną wadą tej technologii jest fakt, że musi być ona zaimplementowana na wszystkich etapach protokołu DNS, aby działała prawidłowo – co powoli, ale nieuchronnie nadchodzi.
Pilnowanie rozwijającej się technologii, takiej jak DNSSEC, jak również bycie na bieżąco z najnowszymi atakami DNS, jest dobrym sposobem na wyprzedzenie krzywej.