Pokud jde o DNS, Cricket Liu knihu doslova napsal. Je spoluautorem všech pěti vydání O'Reillyho knihy „DNS and BIND“, která je obecně považována za konečného průvodce všemi věcmi týkajícími se systému doménových jmen. Cricket je v současné době hlavním ředitelem infrastruktury Infoblox.
DNS je zjevně důležitou součástí počítačové sítě, ale existují chvíle, kdy je možné tyto nástroje použít pro zneužití. Na tomto týdenním fóru nových technologií se Cricket zabývá rostoucím problémem útoků DDoS založených na DNS a tím, jak s nimi zacházet. - Paul Venezia
DDoS útoky založené na DNS: Jak fungují a jak je zastavit
DDoS (distribuovaný útok typu odmítnutí služby) založený na DNS se stal jedním z nejběžnějších ničivých útoků na internetu. Jak ale fungují? A co můžeme udělat, abychom se proti nim bránili?
V tomto článku popíšu, jak útoky DDoS využívají a cílí na infrastrukturu DNS. Ukážu vám také, co můžete udělat pro ochranu sebe a ostatních.
Velká parodie
Generování útoku DDoS pomocí infrastruktury DNS je pozoruhodně jednoduché: Útočníci odesílají dotazy na jmenné servery přes internet a tyto jmenné servery vracejí odpovědi. Místo toho, aby útočníci odesílali dotazy ze svých vlastních IP adres, zfalšují adresu jejich cíle - což může být webový server, router, jiný jmenný server nebo téměř jakýkoli uzel na internetu.
Spoofing DNS dotazy jsou obzvláště snadné, protože se obvykle přenášejí přes UDP (protokol User Datagram Protocol bez připojení). Odeslání dotazu DNS z libovolné adresy IP je asi tak jednoduché a má zhruba stejný účinek jako psaní zpáteční adresy někoho jiného na pohlednici.
Falešné dotazy nestačí k tomu, aby diskvalifikovaly cíl. Pokud by odpovědi na tyto dotazy nebyly větší než samotné dotazy, mohl by útočník stejně dobře zaplavit cíl falešnými dotazy. Ne, aby se maximalizovalo poškození cíle, měl by každý dotaz vrátit velmi velkou odpověď. Ukázalo se, že je to velmi snadné vyvolat.
Od příchodu EDNS0, sady rozšíření DNS zavedené v roce 1999, byly zprávy DNS založené na UDP schopny přenášet spousty dat. Odpověď může být až 4 096 bajtů. Většina dotazů je naopak kratší než 100 bajtů.
Kdysi bylo poměrně těžké najít v internetovém oboru jmen tak velkou odpověď. Ale teď, když organizace začaly zavádět DNSSEC, rozšíření zabezpečení DNS, je to mnohem jednodušší. DNSSEC ukládá kryptografické klíče a digitální podpisy do záznamů v oboru jmen. Jsou pozitivní obrovský.
Na mém blogu můžete vidět příklad odpovědi ze zóny isc.org, která obsahuje záznamy DNSSEC. Velikost odpovědi je 4077 bajtů, ve srovnání s dotazem pouhých 44 bajtů.
Nyní si představte útočníky z celého Internetu, kteří posílají tento falešný dotaz z adresy IP vašeho webového serveru na jmenné servery isc.org. Na každý 44bajtový dotaz obdrží váš webový server 4077bajtovou odpověď, což je faktor zesílení téměř 93krát.
Pojďme udělat rychlý výpočet, abychom zjistili, jak špatně to může být. Řekněme, že každý útočník má relativně skromné připojení k internetu rychlostí 1 Mb / s. Přes tento odkaz může odeslat přibližně 2 840 44 bajtových dotazů za sekundu. Tento stream dotazu by vedl k tomu, že by se na váš webový server dostalo téměř 93 Mb / s odpovědí. Každých 11 útočníků představuje 1 Gb / s.
Kde by asociální útočníci našli 10 přátel, kteří by jim pomohli s útokem? Ve skutečnosti žádné nepotřebují. Budou používat botnet tisíců počítačů.
Konečný efekt je zničující. Ve své čtvrtletní globální zprávě DDoS Attack Report společnost Prolexic (společnost zabývající se zmírňováním DDoS) ohlásila nedávný útok založený na DNS proti zákazníkovi, který dosáhl 167 Gb / s. Společnost Prolexic dále uvedla, že průměrná šířka pásma útoku DDoS vzrostla o 718 procent na 48 Gb / s za jediné čtvrtletí.
Ale počkej! Nelze upravit jmenné servery isc.org tak, aby rozpoznaly, že se na ně opakovaně dotazují stejná data ze stejné adresy IP? Nemohli útok umlčet?
Určitě mohou. Názvové servery isc.org však nejsou jediné, které může útočník použít k zesílení svého provozu. Jistě, útočník by mohl použít další autoritativní jmenné servery, ale ještě horší jsou otevřené rekurzivní jmenné servery.
Otevřený rekurzivní jmenný server je jednoduše jmenný server, který bude zpracovávat rekurzivní dotazy z jakékoli adresy IP. Mohu mu poslat ten dotaz na data isc.org a on mi odpoví a vy můžete udělat totéž.
Na internetu by nemělo být mnoho otevřených rekurzivních jmenných serverů. Funkce rekurzivního jmenného serveru spočívá ve vyhledávání dat v oboru názvů Internetu jménem klientů DNS, jako jsou data na vašem notebooku nebo smartphonu. Správci sítě, kteří nastavují rekurzivní jmenné servery (například vaše IT oddělení), je obvykle zamýšlejí použít pro konkrétní komunitu (například vy a vaši spolupracovníci). Pokud nepoužívají služby, jako je OpenDNS nebo Google Public DNS, neznamená to, že je mají používat občané Moldavska. Takže veřejně temperamentní, smýšlející o bezpečnosti a hlavně kompetentní správci konfigurují řízení přístupu na svých rekurzivních názvových serverech tak, aby jejich použití bylo omezeno na autorizované systémy.
Vzhledem k tomu, jaký velký problém by mohly být rekurzivní jmenné servery? Docela velký. Projekt Open Resolver shromáždil seznam 33 milionů otevřít rekurzivní jmenné servery. Hackeři mohou spouštět falešné dotazy na tolik z nich, kolik by chtěli chrlit data isc.org na váš webový server, jmenný server nebo hraniční směrovač, dokud se neudusí.
Tak fungují DDoS útoky založené na DNS. Naštěstí máme několik způsobů, jak proti nim bojovat.
Jak překonat bouři
Prvním úkolem je vybavit vaši infrastrukturu DNS, takže budete vědět, kdy jste napadeni. Příliš mnoho organizací nemá tušení, jaké je jejich zatížení dotazem, takže by nikdy nevěděly, zda byly vůbec napadeny.
Určení zatížení dotazu může být stejně jednoduché jako použití integrované podpory statistik BIND. Názvový server BIND vypíše data do svého statistického souboru, když spustíte statistiky rndc,například nebo v konfigurovatelném statistickém intervalu. Můžete si prohlédnout statistiku rychlosti dotazů, chyb soketu a dalších indikací útoku. Nedělejte si starosti, pokud si ještě nejste jisti, jak bude útok vypadat - součástí monitorování DNS je stanovení základní úrovně, abyste mohli zjistit, co je neobvyklé.
Dále se podívejte na infrastrukturu orientovanou na internet. Neomezujte se na své externí autoritativní jmenné servery; prozkoumejte infrastrukturu přepínačů a směrovačů, brány firewall a připojení k internetu. Určete jednotlivé body selhání. Zjistěte, zda je můžete snadno (a nákladově efektivně) eliminovat.
Pokud je to možné, zvažte širokou geografickou distribuci externích autoritativních jmenných serverů. To samozřejmě pomáhá vyhnout se jednotlivým bodům selhání, ale také pomáhá, když nejste napadeni. Rekurzivní jmenný server, který vyřeší název domény v jedné z vašich zón, se pokusí vyhledat nejbližší autoritativní jmenný server, takže geografická distribuce bude mít tendenci poskytovat lepší výkon vašim zákazníkům a korespondentům. Pokud jsou vaši zákazníci seskupeni v určitých zeměpisných oblastech, zkuste do jejich blízkosti umístit autoritativní jmenný server, který vám poskytne nejrychlejší odpovědi.
Snad nejzákladnějším způsobem boje proti útokům DoS je přehnané zabezpečení vaší infrastruktury. Dobrou zprávou je, že overprovisioning vašich jmenných serverů nemusí být nutně drahý; schopný jmenný server dokáže zpracovat desítky nebo dokonce stovky tisíc dotazů za sekundu. Nejste si jisti, jaká je kapacita vašich jmenných serverů? K otestování výkonu svých jmenných serverů můžete použít nástroje pro dotazy, jako je dnsperf - nejlépe pomocí testovací platformy podobné vašim produkčním jmenným serverům v laboratoři, spíše než samotné produkční servery.
Subjektivní rozhodování o tom, jak nadměrně poskytovat své jmenné servery: Jaká je vaše hodnota online přítomnosti? Existují další součásti vaší infrastruktury orientované na internet, které selžou před jmennými servery? Je zřejmé, že je bláznivé utrácet peníze na vybudování prvotřídní infrastruktury DNS za hraničním směrovačem nebo bránou firewall, která selže dříve, než se vaše jmenné servery vůbec potí.
Pokud peníze nejsou žádným předmětem, může být užitečné vědět, že nejmodernější útoky DDoS na infrastrukturu DNS mohou překročit 100 Gb / s.
Použití Anycast může také pomoci odolat DDoS útoku. Anycast je technika, která umožňuje více serverům sdílet jednu IP adresu a zvláště dobře funguje s DNS. Ve skutečnosti kořenové jmenné servery na internetu již roky používají Anycast k poskytování dat kořenové zóny po celém světě a stále umožňují, aby se seznam kořenů vešel do jedné zprávy DNS založené na UDP.
Chcete-li nasadit Anycast, hostitelé podporující vaše jmenné servery budou muset spustit protokol dynamického směrování, například OSPF nebo BGP. Proces směrování bude inzerovat na sousedních směrovačích cestu na novou virtuální adresu IP, na které váš server jmen naslouchá. Proces směrování musí být také dostatečně chytrý, aby přestal inzerovat tuto trasu, pokud místní jmenný server přestane reagovat. Svého směrovacího démona můžete přilepit na zdraví svého jmenného serveru pomocí kódu vlastní konstrukce - nebo si můžete koupit produkt, který se o to postará za vás. Infoblox NIOS, ne náhodou, zahrnuje podporu Anycast.
Jak se Anycast brání proti DDoS útokům? Řekněme, že máte šest externích jmenných serverů ve dvou skupinách Anycast (tj. Tři sdílející jednu adresu Anycast IP a tři sdílející další). Každá skupina obsahuje jednoho člena ve Spojených státech, jednoho v Evropě a jednoho v Asii. Hostitel, který proti vám připojuje útok DDoS, může odesílat provoz pouze - a tedy pouze útoku - jednomu členovi jakékoli skupiny z libovolného místa na internetu najednou. Pokud útočníci nedokážou současně získat dostatečný provoz ze Severní Ameriky, Evropy a Asie, aby zaplavili vaši infrastrukturu, neuspějí.
Konečně existuje způsob, jak můžete současně využívat výhody široké geografické distribuce a Anycast, aniž by došlo k významným výdajům na kapitál: Použijte poskytovatele DNS založeného na cloudu. Společnosti jako Dyn a Neustar provozují vlastní jmenné servery Anycast v datových centrech po celém světě. Platíte jim za to, aby hostovali vaše zóny a odpovídali na dotazy týkající se vašich dat. A můžete i nadále udržovat přímou kontrolu nad vašimi zónovými daty tím, že požádáte poskytovatele, aby nakonfiguroval své jmenné servery jako sekundární pro vaše zóny, načítáním dat z hlavního jmenného serveru, který určíte a spravujete interně. Jen se ujistěte, že spustíte hlavní program skrytý (to znamená, že na něj nebude odkazovat žádný záznam NS), nebo riskujete, že ho útočník zacílí jako na jediný bod selhání.
Jedno slovo opatrnosti při používání cloudových poskytovatelů DNS: Většina vám účtuje alespoň částečně na základě počtu dotazů, které jejich jmenné servery přijímají pro data ve vašich zónách. V útoku DDoS se tyto dotazy mohou dramaticky zvýšit (zcela mimo vaši kontrolu a vůbec ne ve váš prospěch), takže se ujistěte, že mají ustanovení pro řešení útoků DDoS, aniž by vám přenesly náklady na provoz.
Jak se vyhnout tomu, abyste se stali spolupachateli útoků DDoS
Nyní víte, jak nakonfigurovat infrastrukturu DNS tak, aby odolávala útoku DDoS. Je téměř stejně důležité zajistit, abyste se nepodíleli na útoku DDoS proti někomu jinému.
Pamatujete si popis toho, jak mohou servery DNS zesílit provoz? Útočníci mohou používat jak otevřené rekurzivní jmenné servery, tak autoritativní jmenné servery jako zesilovače a odesílat falešné dotazy, které způsobují, že jmenné servery odesílají odpovědi více než stokrát větší než dotaz na libovolné cíle na internetu. Nyní samozřejmě nechcete být terčem takového útoku, ale nechcete být ani komplicem. Útok využívá zdroje vašich jmenných serverů i vaši šířku pásma. Pokud cíl přijme opatření k blokování provozu z vašeho jmenného serveru do jeho sítě, pak po skončení útoku nemusí být schopen vyřešit názvy domén ve vašich zónách.
Pokud spustíte otevřený rekurzivní jmenný server, řešení je jednoduché: Ne. Existuje jen velmi málo organizací, které mají jakékoli důvody pro provozování jmenného serveru otevřeného rekurzivním dotazům. Google Public DNS a OpenDNS jsou dva, které mi přijdou na mysl, ale pokud to čtete, hádám, že pravděpodobně nejste oni. My ostatní bychom měli použít řízení přístupu na naše rekurzivní jmenné servery, abychom se ujistili, že je používají pouze autorizovaní dotazující se. To pravděpodobně znamená omezit dotazy DNS na adresy IP v našich interních sítích, což lze snadno provést na jakékoli implementaci jmenného serveru, která stojí za to. (Server Microsoft DNS nepodporuje řízení přístupu na základě IP adres u dotazů. Do toho si přečtěte, co chcete.)
Ale co když spustíte autoritativní jmenný server? Je zřejmé, že nemůžete omezit IP adresy, ze kterých budete přijímat dotazy - nebo vůbec ne (můžete odmítnout dotazy ze zjevně falešných IP adres, jako jsou adresy RFC 1918). Odpovědi však můžete omezit.
Dva dlouholetí „bílí klobouci“ na internetu, Paul Vixie a Vernon Schryver, si uvědomili, že útoky DDoS využívající autoritativní jmenné servery pro zesílení vykazují určité vzory dotazů. Útočníci zejména zasílají jmenným serverům stále stejný dotaz ze stejné falešné adresy IP (nebo bloku adres) a hledají maximální zesílení. Žádný dobře vychovaný rekurzivní jmenný server by to neudělal. Odpověď by se uložila do mezipaměti a nepožádala by se znovu, dokud neuplyne doba, po kterou budou v odpovědi reagovat.
