Dacă nu ați fost lipit de internet în urmă cu câteva săptămâni, este posibil să fi ratat întreruperea masivă care a lovit coasta de est în octombrie. 21
Mai multe site-uri populare precum Twitter, Reddit, Netflix, Etsy și Spotify au fost inaccesibile pentru mii de utilizatori.
Experții au declarat între timp că întreruperea a fost rezultatul unui atac uriaș asupra serviciilor DNS la Dyn, o companie de infrastructură de internet.
Preocupările legate de atacurile DNS au stat pe plan secundar pentru multe întreprinderi și companii IT deopotrivă – dar acest lucru s-ar putea schimba.
Companii precum Google, The New York Times și mai multe bănci au căzut victime unei varietăți de atacuri DNS în ultimii ani.
Cu atacuri similare care vor urma cu siguranță, la ce tipuri de atacuri ar trebui să fiți atenți?
Atacul #1: Otrăvirea DNS și Spoofing
Otrăvirea DNS poate, în cele din urmă, să direcționeze utilizatorii către un site web greșit. De exemplu, un utilizator poate introduce „msn.com” într-un browser web, dar în schimb se încarcă o pagină aleasă de atacator.
Din moment ce utilizatorii tastează numele de domeniu corect, este posibil ca aceștia să nu realizeze că site-ul web pe care îl vizitează este fals.
Aceasta creează o oportunitate perfectă pentru atacatori de a folosi tehnici de phishing pentru a extrage informații – fie că este vorba de credențiale de logare sau informații despre carduri de credit – de la victimele neștiutoare.
Atacul poate fi devastator, în funcție de mai mulți factori, inclusiv de intenția atacatorului și de amploarea otrăvirii DNS.
Cum fac atacatorii acest lucru? Prin exploatarea sistemului de caching DNS.
Trickle-down DNS caching
DNS caching este utilizat pe întregul web pentru a accelera timpii de încărcare și a reduce presiunea asupra serverelor DNS. Pe scurt, odată ce un sistem interoghează un server DNS și primește un răspuns, acesta salvează informația într-o memorie cache locală pentru o consultare mai rapidă.
Această abordare este utilizată pe întregul web într-un mod „trickle-down”. Înregistrările de la un server DNS sunt folosite pentru a pune în cache înregistrările de la un alt server DNS. Acel server este utilizat pentru a pune în cache înregistrările DNS pe sistemele de rețea, cum ar fi routerele. Aceste înregistrări sunt folosite pentru a crea cache-uri pe mașinile locale.
Pache-uri DNS otrăvite
Otrăvirea DNS apare atunci când unul dintre aceste cache-uri este compromis.
De exemplu, dacă cache-ul de pe un router de rețea este compromis, atunci oricine îl folosește poate fi direcționat greșit către un site web fraudulos. Înregistrările DNS false ajung apoi în cache-urile DNS de pe calculatorul fiecărui utilizator.
Acest lucru se poate întâmpla, de asemenea, mai sus în lanț.
De exemplu, un server DNS important poate fi compromis. Acest lucru poate otrăvi memoria cache a serverelor DNS menținute de furnizorii de servicii de internet. Otrăvirea poate ajunge până la sistemele și dispozitivele de rețea ale clienților lor, putând direcționa milioane de oameni către site-uri web alese de un atacator.
Sună nebunesc? Nu este. În 2010, utilizatorii de internet din SUA au fost blocați de pe site-uri precum Facebook și YouTube, deoarece un server DNS de la un furnizor de servicii de internet de nivel înalt a preluat din greșeală înregistrări din Marele Firewall din China.
Antidot pentru otravă
Otrăvirea cache-ului DNS este foarte greu de detectat. Poate dura până când TTL, sau time to live, expiră pentru datele din cache sau până când un administrator își dă seama și rezolvă problema.
În funcție de durata TTL, ar putea dura zile întregi pentru ca serverele să rezolve singure problema.
Cele mai bune metode pentru a preveni un atac de otrăvire a cache-ului DNS includ actualizarea regulată a programelor, setarea unor timpi TTL scurți și curățarea regulată a cache-urilor DNS ale mașinilor locale și ale sistemelor de rețea.
Atacul #2: Amplificarea DNS pentru DDoS
Atacurile de amplificare DNS nu sunt amenințări împotriva sistemelor DNS. În schimb, acestea exploatează natura deschisă a serviciilor DNS pentru a întări forța atacurilor distribuite de negare a serviciului (DDoS).
Atacurile DDoS nu sunt străine de lumina reflectoarelor, vizând site-uri bine cunoscute precum BBC, Microsoft, Sony și Krebs on Security.
Amplificare și amplificare
Atacurile DDoS au loc, de obicei, cu ajutorul unui botnet. Atacatorul folosește o rețea de calculatoare infectate cu malware pentru a trimite cantități mari de trafic către o țintă, cum ar fi un server. Scopul este să supraîncarce ținta și să o încetinească sau să o prăbușească.
Atacurile de amplificare adaugă mai multă forță. În loc să trimită trafic direct de la un botnet către o victimă, botnetul trimite cereri către alte sisteme. Aceste sisteme răspund prin trimiterea unor volume și mai mari de trafic către victimă.
Atacurile de amplificare DNS sunt un exemplu perfect. Atacatorii folosesc un botnet pentru a trimite mii de cereri de căutare către serverele DNS deschise. Cererile au o adresă sursă falsificată și sunt configurate pentru a maximiza cantitatea de date returnate de fiecare server DNS.
Rezultatul: un atacator trimite cantități relativ mici de trafic dintr-un botnet și generează volume proporțional mai mari – sau „amplificate” – de trafic de la serverele DNS. Traficul amplificat este direcționat către o victimă, ceea ce face ca sistemul să se clatine.
Deflectați și apărați
Firewall-urile UTM pot fi configurate să recunoască și să oprească atacurile DDoS pe măsură ce acestea au loc, renunțând la pachetele artificiale care încearcă să inunde sistemele din rețea.
O altă modalitate de a combate atacurile DDoS este de a găzdui arhitectura clientului dumneavoastră pe mai multe servere. În acest fel, dacă un server devine supraîncărcat, un alt server va fi în continuare disponibil.
Dacă atacul este mic, adresele IP care trimit traficul pot fi blocate. În plus, o creștere a lățimii de bandă a serverului îi poate permite acestuia să absoarbă atacul.
Există, de asemenea, multe soluții dedicate, plătite, care sunt concepute exclusiv pentru a combate atacurile DDoS.
Atacul #3: DNS atacat de DDoS
Atacurile DDoS pot fi folosite împotriva multor tipuri diferite de sisteme. Printre acestea se numără și serverele DNS.
Un atac DDoS de succes împotriva unui server DNS poate provoca blocarea acestuia, punând utilizatorii care se bazează pe acest server în imposibilitatea de a naviga pe web (notă: utilizatorii vor putea, probabil, să ajungă în continuare la site-urile web pe care le-au vizitat recent, presupunând că înregistrarea DNS este salvată într-o memorie cache locală).
Acesta este ceea ce s-a întâmplat cu serviciile DNS ale Dyn, așa cum este descris în deschiderea acestei postări. Un atac DDoS a copleșit sistemele companiei, provocând blocarea acestora, ceea ce a împiedicat mii de oameni să acceseze site-uri web importante.
Cum să vă apărați împotriva acestor atacuri depinde de rolul sistemelor dvs. în mediu.
De exemplu, găzduiți un server DNS? În acest caz, există măsuri pe care le puteți lua pentru a-l proteja, cum ar fi să îl păstrați cu patch-uri și să permiteți doar mașinilor locale să îl acceseze.
Poate că încercați să ajungeți la serverul DNS atacat? În acest caz, probabil că veți avea probleme de conectare.
De aceea, este o idee bună să vă configurați sistemele pentru a se baza pe mai mult de un server DNS. În acest fel, dacă serverul principal cade, aveți un altul ca soluție de rezervă.
Vă recomandăm serverele DNS publice gratuite de la Google: 8.8.8.8.8 și 8.8.4.4. Sunt disponibile și instrucțiuni pentru adresele IPv6.
Preveniți și atenuați atacurile
Atacurile asupra serverelor DNS reprezintă un risc major pentru securitatea rețelei și trebuie luate în serios. Atât afacerile, cât și companiile IT trebuie să implementeze măsuri de protecție pentru a preveni și a reduce efectele unui astfel de atac, în cazul în care ar cădea vreodată victimă a unuia.
Ca urmare a unor astfel de atacuri, ICANN a început să sublinieze aceste riscuri cu DNSSEC, o tehnologie în creștere utilizată pentru prevenirea atacurilor asupra serverelor DNS.
DNSSEC funcționează în prezent prin „semnarea” fiecărei cereri DNS cu o semnătură certificată pentru a asigura autenticitatea. Acest lucru ajută serverele să elimine cererile false.
Singurul dezavantaj al acestei tehnologii este faptul că trebuie să fie implementată în toate etapele protocolului DNS pentru a funcționa corect – ceea ce se întâmplă încet, dar sigur.
Să urmăriți tehnologiile în curs de dezvoltare, cum ar fi DNSSEC, precum și să fiți la curent cu cele mai recente atacuri DNS este o modalitate bună de a rămâne în fața curbei.