DNS Amplification Attacks

Systémy Postižená
Domain Name System (DNS) serverů
Přehled
Domain Name Server (DNS), zesílení útoku je populární forma distribuované odmítnutí služby (DDoS), který se opírá o využívání veřejně dostupných open DNS servery zahltit systém oběť s provozem odezvy DNS.
Popis
Domain Name Server (DNS), Amplification útok je populární forma Distributed Denial of Service (DDoS), ve které útočníci používají veřejně přístupné otevřené DNS servery, zaplaví cílovou systém dopravy odezvy DNS. Primární metoda se skládá z útočníka odesláním žádosti jméno vyhledávání DNS na otevřené serveru DNS se zdrojovou adresu falešnou být adresa terče. Pokud server DNS odešle odpověď DNS záznam, je odeslán místo k cíli. Útočníci obvykle podat žádost o poskytnutí informací tolik prostoru, jak je možné, aby maximalizoval efekt zesílení. Ve většině útoků tohoto typu pozorovaného US-CERT, Falešná dotazy zaslané útočníkem jsou typu "ANY", která vrátí všechny známé informace o zóně DNS v jedné žádosti. Vzhledem k tomu, velikost odpovědi je podstatně větší, než žádost, útočník je schopen zvýšit množství dopravy zaměřené na oběti. Díky využití botnet produkovat velké množství zfalšovaných DNS dotazů, útočník může vytvořit nesmírné množství provozu s minimálním úsilím. Navíc, protože odpovědi jsou legitimní data přicházející z platných serverů, je velmi obtížné, aby se zabránilo těchto typů útoků. Zatímco útoky jsou těžko k zastavení, mohou provozovatelé sítí uplatnit několik možných strategií zmírňování.
Zatímco nejběžnější forma tohoto útoku, který US-CERT byla pozorována zahrnuje servery DNS nakonfigurován tak, aby neomezený rekurzivní řešení pro každého klienta na internetu, můžete útoky také zahrnovat autoritativní jmenné servery, které neposkytují rekurzivní řešení. Způsob útoku je podobný otevření rekurzivní překladače, ale je mnohem obtížnější zmírnit, protože i server je nakonfigurován s osvědčenými postupy mohou být stále používány v útoku. V případě autoritativních serverů, zmírnění by se měla zaměřit na využití míra odezvy Omezení omezit množství dopravy.
Náraz
Špatně Domain Name System (DNS) serveru mohou být využívány k účasti na distribuované odmítnutí služby (DDoS) útok.
Řešení
DETEKCE
I když to není snadné určit, autoritativní name servery používané v DNS reflexe útoků zranitelnost není způsoben konfigurací, existuje několik volně dostupných možností pro detekci otevřené rekurzivní překladače. Některé organizace nabízejí zdarma, web-based skenování nástroje, které budou vyhledávat sítě pro ohrožené open DNS překládání. Tyto nástroje budou skenovat celé sítě rozsahy a seznam adresu zjištěných otevřených překládání.
Otevřít DNS Resolver Project
http://openresolverproject.org
Open DNS Resolver projekt sestavil seznam serverů DNS, které je známo, že slouží jako globálně přístupné otevřené překladače. Rozhraní dotaz umožňuje správcům sítí zadat IP rozsahy ve formátu CIDR Měření Factory
http://dns.measurement-factory.com
Jako Řešitel projektu Otevřená DNS, měření Factory udržuje seznam internetových dostupných DNS serverů a umožňuje správcům vyhledávat otevřených rekurzivních překladače [2]. Kromě toho, Measurement Factory nabízí bezplatný nástroj pro testování jeden DNS resolver, zda umožňuje otevřené rekurze. To umožní, aby správce určit, zda jsou nutné změny konfigurace a ověřit, že změny konfigurace byla úspěšná [3]. Nakonec, místo nabízí statistiky ukazují počet veřejných překladače zjištěných na jiném autonomní systém (AS) sítě, seřazené podle nejvyšší počet nalezeno [4].
DNSInspect
http://www.dnsinspect.com
Další volně k dispozici, webový nástroj pro testování DNS překladače je DNSInspect. Tato stránka je podobná schopnosti měření Factory posoudit individuální resolver pro zranitelnosti, ale nabízí možnost vyzkoušet celou DNS zónu pro několik dalších možných problémů s konfigurací a bezpečnosti [5].
Ukazatele
V typickém rekurzivní dotaz DNS, klient odešle požadavek dotazu na lokální DNS server žádající rozlišení názvu nebo reverzní IP adresy. DNS server provede potřebné dotazy jménem klienta a vrátí paket odezvy požadované informace, nebo chybové [6, str. 21]. Specifikace neumožňuje nevyžádaných odpovědí. Při zesílení útoku DNS, hlavním ukazatelem je odpověď dotaz bez požadavku odpovídající.
SNIŽOVÁNÍ
Bohužel, vzhledem k masivní objem dopravy, které mohou být vyrobené z těchto útoků, tam je často malý, že oběť může udělat proti rozsáhlé DNS zesílení na bázi Distributed Denial-of-service útok. Nicméně, je možné snížit počet serverů, které mohou být použity ke generování útočníky objemu dopravy.
Zatímco jediným účinným prostředkem k odstranění použití rekurzivních překladače v tomto typu útoku je eliminovat nezajištěné rekurzivní překladače, což vyžaduje značné úsilí ze strany různých stran. Podle Řešitel projektu Otevřená DNS, z 27 milionů známých DNS překládání na internetu, přibližně "25 milionů představují významnou hrozbu", že jsou používány v útoku [1]. Nicméně, několik možných technik jsou k dispozici ke snížení celkové účinnosti takových útoků na internetové komunitě jako celku. Kde je to možné, byly poskytnuty konfigurace odkazy pomáhat správcům provedením doporučených změn. Informace o konfiguraci byla omezena na bind9 a serveru DNS společnosti Microsoft, které jsou oba široce nasazené DNS servery na federální sítí. Pokud používáte jiný server DNS, naleznete v dokumentaci od dodavatele pro podrobnosti konfigurace.
Zdroj Ověření IP
Vzhledem k tomu, že DNS dotazy jsou zasílané klientům útočník ovládané, musí mít zdrojová adresa falešné vypadat jako systém oběti, prvním krokem ke snížení účinnosti amplifikace DNS je pro poskytovatele internetových služeb odmítnout jakýkoliv DNS provoz s falešnými adresami. Pracovní skupina pro síť Internet Engineering Task Force vydala Best Current Practice 38 dokument do května 2000 a Best Current Practice 84 03 2004, která popisuje, jak Internet Service Provider můžete filtrovat síťový provoz ve své síti odmítnout pakety s zdrojových adres není dostupný přes Cesta od skutečného paketu [7]. Změny doporučené v tomto dokumentu by způsobilo směrovací zařízení pro hodnocení, zda je možné dosáhnout zdrojovou adresu paketu přes rozhraní, které přenášeného paketu. Pokud to není možné, pak paket má samozřejmě falešnou zdrojovou adresu. Tato změna konfigurace se podstatně sníží potenciál pro většinu populárních typů DDoS útoků. Jako takový, doporučujeme všem provozovatelům sítě provádět síťová filtrování vniknutí pokud je to možné.
Zakázání rekurze na autoritativní jmenné servery
Mnoho serverů DNS v současné době nasazených na internetu jsou výhradně určeny k zajištění názvů pro jednu doménu. V těchto systémech, rozlišení DNS pro soukromé systémy klienta mohou být poskytnuty na samostatném serveru a autoritativní server, vystupuje pouze jako zdroj informací DNS zóny pro externí klienty. Tyto systémy nemusí podporovat rekurzivní řešení jiných domén jménem klienta, a měl by být nakonfigurován s rekurze zakázána.
Bind9
Přidejte následující globální možnosti [8]: možnosti { allow-query-cache {none; }, rekurze ne; };


Microsoft Server DNS
V konzoly nástroje Microsoft DNS [9]:
Klepněte pravým tlačítkem myši na DNS server a klepněte na příkaz Vlastnosti.
Klepněte na kartu Upřesnit.
V možnostech Server, zaškrtněte políčko "Zakázat rekurze", a potom klepněte na tlačítko OK.
Omezení rekurze na autorizované klienty
U serverů DNS, které jsou nasazeny v rámci organizace nebo Internet Service Provider, resolver by měl být nastaven tak, aby provádění rekurzivní dotazy jménem pouze autorizovaných klientů. Tyto požadavky obvykle by měly pocházet pouze od klientů v rámci rozsahu adres sítě organizace. Důrazně doporučujeme, aby všichni správci serveru omezit rekurze pouze klientům v síti organizace.
Bind9
V globálních voleb, jsou následující [10]: ACL corpnets {192.168.1.0/24; 192.168.2.0/24; }; možnosti { allow-query {existuje; }, umožňují-rekurze {corpnets; }; };



Microsoft Server DNS
Je to v současné době není možné omezit rekurzivní DNS dotazy na konkrétní rozsah adres klienta v Microsoft DNS Server. , Kterou se sbližují funkčnost seznamů řízení přístupu BIND v serveru DNS společnosti Microsoft, by měl být jiný caching-only název serveru nastavit interně poskytnout rekurzivní řešení. Pravidlo brány firewall by měl být vytvořen blokovat příchozí přístup k mezipaměti pouze serverem z mimo síť organizace. Funkce název serveru autoritativní by pak třeba umístěn na samostatném serveru, ale nakonfigurován tak, aby zakážete použití rekurze, jak bylo popsáno výše.
Rychlost odezvy Omezení (RRL)
V současné době je experimentální funkce k dispozici jako sada záplat pro bind9, který umožňuje správci omezit maximální počet odpovědí za sekundu, jsou odeslány do jednoho klienta z názvu serveru [11]. Tato funkce je určena k použití na autoritativních jmenných serverů domény jen jak to bude mít vliv na výkon na rekurzivních překládání. Pro zajištění co nejúčinnější ochrany, doporučujeme, aby autoritativní a rekurzivní name servery běžet na různých systémech, s RRL realizován na seznamu autoritativních serverů a přístup kontroly prováděné na rekurzivní serveru. Tím se sníží účinnost amplifikace útoků DNS tím, že snižuje objem dopravy přicházející z jakéhokoliv jednoho autoritativního serveru a zároveň nemá vliv na výkon vnitřních rekurzivních překládání.
Bind9
K dispozici jsou v současné době k dispozici záplaty pro 9.8.latest a 9.9.latest na podporu RRL na systémech UNIX. Red Hat učinil aktualizované balíčky jsou k dispozici pro Red Hat Enterprise Linux 6, poskytnout nezbytné změny v poradním RHSA 2013 :0550-1. Na realizaci bind9 běží záplaty RRL, jsou následující řádky do voleb bloku autoritativních názorů [12]: rychlost-limit { odpovědí za sekundu 5; okno 5; };


Microsoft Server DNS
Tato možnost není v současné době k dispozici pro Microsoft DNS Server.
Upozornění: Omezení rychlosti odezvy DNS může bránit legitimní hostitele od obdržení odpovědi. Tyto počítače mohou být zvýšené riziko pro úspěšné DNS cache poisoning útoky.
RRL odpovědí DNS může bránit legitimní hostitele od obdržení odpovědi. Tyto počítače mohou být zvýšené riziko pro úspěšné DNS cache poisoning útoky.