2020/06/18 23:19:29

Атаки на DNS-сервера

Существует множество DNS-решений: BIND, Microsoft DNS Server, Open DNS и другие. Все они требуют защиты. Ведь, если хакер атакует DNS-сервер, то пользователи будут попадаться в ловушку, даже не подозревая об этом.

Содержание

Чем опасны DNS-атаки

Атаки на DNS можно условно разделить на две категории.

Первая категория – это атаки на уязвимости в DNS-серверах. С этим подвидом атак связаны следующие опасности:

  • Во–первых, в результате DNS-атак пользователь рискует не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы.
  • Во–вторых, в результате перехода пользователя на ложный IP–адрес хакер может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Вторая категория – это DDoS-атаки, приводящие к неработоспособности DNS-сервера. При недоступности DNS-сервера пользователь не сможет попасть на нужную ему страницу, так как его браузер не сможет найти IP-адрес, соответствующий введённому адресу сайта. DDoS-атаки на DNS-сервера могут осуществляться как за счёт невысокой производительности DNS-сервера, так и за счёт недостаточной ширины канала связи. Потенциально DDoS-атаки второго вида могут иметь мощность до 70 Гбит/с при использовании техник наподобие DNS Amplification и пр.

Инциденты

Из отчёта Radware (2013) Глобальный отчет по безопасности сетей и приложений


В октябре 2002 года неизвестные пытались "задедосить" 10 из 13 DNS–серверов верхнего уровня.

В декабре 2009 года из-за подмены DNS–записи в течение часа для пользователей был недоступен сервис Twitter. Акция носила политический характер, и вместо интерфейса социальной сети на главной странице ресурса отображались предостережения иранских хакеров по поводу американской агрессии. Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 11.7 т

В 2009 году, злоумышленники пытались нарушить работу как минимум двух корневых DNS-серверов.

2012 год был годом DNS-атак. Хотя DNS-атаки уже давно известны, за 2012 год они возникали гораздо чаще обычного, и, что более важно, – они стали более изощренными и влекут за собой более серьезные последствия.

Почему популярность DNS-атак возросла? Ответ можно найти, изучив недавнюю историю DoS/DDoS-атак. Хотя DoS/DDoS-атаки появились одновременно с появлением сети Интернет, они заняли лидирующую позицию среди атак со второй половины 2010, в частности с тех пор, как группа Anonymous выбрала их в качестве основного метода нападения. Вначале организации были абсолютно не готовы к защите, и любые атаки злоумышленников достигали цели.

Положение изменилось к концу 2011 года, когда организации стали внедрять системы отражения для противодействия DoS/DDoS атакам, что побудило злоумышленников искать пути обхода защитных систем, используя более изощренные векторы атак. При таком положении вещей DNS-сервер стал подходящей целью. Изучив информацию об атаках за 2012 год, можно отметить рост числа DNS-атак на 170% по сравнению с 2011 годом. Почти половина состоит из изощренных атак с использованием отражения запросов или рекурсивных запросов, для осуществления которых, даже не требуется наличия DNS-сервера у организации, являющейся целью атаки.

DNS-атаки показывают динамику развития сферы DoS/DDoS в целом. Несмотря на часто встречающееся наивное восприятие DoS/DDoS как атак, для эффективности которых требуется грубая отправки большого количества трафика, DNS-атаки доказывают обратное. Сложные DNS-атаки могут носить асимметричный характер, и могут быть мощными и разрушительными при относительно низкой скорости и интенсивности атаки. Растущая сложность относится не только к DNS-атакам, но является общей чертой развития сферы DoS/DDoS-атак.

В 2012 году были проведены крупномасштабные DNS-атаки на следующие авторитетные организации:

  • В августе 2012 года AT&T подверглась DDoS-атаке, которая вывела из строя DNS-серверы компании в двух территориальных точках. В ходе атаки, которая продлилась по меньшей мере 8 часов, сайт компании AT&T был недоступен для пользователей. Однако наиболее критическое значение имел тот факт, что коммерческие сайты в сети AT&T также были не доступны.
  • 10 ноября 2012 ujlf компания GoDaddy, крупнейший хостинг-провайдер и регистратор доменных имен, пострадала от атаки типа DNS-флуд, которая нанесла ущерб миллионам доменов в сети интернет. Был недоступен не только домен www.godadddy.com, но и все домены, зарегистрированные через компанию GoDaddy, которые использовали ее имя сервера, DNS записи были также недоступны.
  • 31 марта хактивисты группы Anonymous угрожали вывести из строя всю сеть Интернет путем атаки на 13 корневых DNS-серверов. Группа планировала использовать технику «усиленного отражения» DNS-запросов, ими была выпущена утилита Ramp, которая была разработана для подключения ресурсов множества интернет-провайдеров и других корпоративных DNS-сервисов для выведения из строя корневых серверов. В конечном итоге, нападение так и не состоялось, но изощренный план (см. ниже раздел «Атака путем отраженных DNS-запросов») обладал разрушительный потенциалом.

Image:Атака посредством отражения DNS-запросов.jpeg

Статистика атак в мире

2020: Индия стала лидером по DNS-атакам

В середине июня 2020 года компания по кибербезопасности EfficientIP опубликовала отчет по DNS-атакам, согласно которому Индия стала лидером по этому виду киберугроз. В стране было зафиксировано самое большое количество таких атак, по 12,13 на организацию, а индийские фирмы потеряли по меньшей мере $784 000.

Хакеры украли конфиденциальную информацию о клиентах почти 27% индийских компаний, тогда как во всем остальном мире эта доля составила 16%. В результате атак время простоя облачных сервисов в стране достигло 65%.

EfficientIP опубликовала отчет по DNS-атакам, согласно которому Индия стала лидером по этому виду киберугроз
«
В эпоху ключевых ИТ-инициатив, таких как IoT, Edge, SD-WAN и 5G, защита DNS должна играть гораздо большую роль в экосистеме безопасности, — считает вице-президент по стратегии EfficientIP Ронан Дэвид (Ronan David). — Пандемия COVID-19 обострила эти проблемы, поскольку теперь простой любой сети или приложения имеет серьезные последствия для бизнеса.
»

DNS-спуфинг, также известный как отравление кэша DNS, является одной из форм взлома компьютерных сетей, в котором данные кэша доменных имен изменяются злоумышленником, с целью возврата ложного IP-адреса. Это приводит к атаке посредника на компьютер злоумышленника (или любой другой компьютер). Последствия таких атак могут серьезно пошатнуть финансовое положение компании и даже полностью потопить бизнес. Специалисты, подготовившие отчет, считают, что обеспечение доступности и целостности службы DNS должно стать приоритетом для любой организации.

Во всем мире 79% организаций рано или поздно подвергались DNS-атакам, при этом каждая обходилась в среднем в $924 000. В 2020 году отмечалось по 9,5 атак на организацию. В отчете также указано, что число предприятий, пострадавших от простоя облачных сервисов, увеличилось с 41% в 2019 году до 50% в 2020 году. При этом 25% компаний не проводят аналитику своего DNS-трафика.[1]

Виды атак

Основной причиной такой подверженности DNS-систем угрозам является то, что они работают по протоколу UDP, более уязвимому, чем TCP.

Существует несколько способов атаки на DNS. Первый тип – это создание обманного DNS-сервера вследствие перехвата запроса. Механизм данной атаки очень прост. Хакер – атакующий, ждет DNS-запроса от компьютера жертвы. После того как атакующий получил запрос, он извлекает из перехваченного пакета IP–адрес запрошенного хоста. Затем генерируется пакет, в котором злоумышленник представляется целевым DNS–сервером. Сама генерация ответного пакета так же проста: хакер в ложном ответе жертве в поле IP DNS–сервера прописывает свой IP. Теперь компьютер жертвы принимает атакующего за реальный DNS. Когда клиент отправляет очередной пакет, атакующий меняет в нем IP-адрес отправителя и пересылает далее на DNS. В результате настоящий DNS-сервер считает, что запросы отправляет хакер, а не жертва. Таким образом, атакующий становится посредником между клиентом и реальным DNS–сервером. Далее хакер может исправлять запросы жертвы по своему усмотрению и отправлять их на реальный DNS. Но перехватить запрос можно, только если атакующая машина находится на пути основного трафика или в сегменте DNS–сервера.

Второй способ атаки применяется удаленно, если нет доступа к трафику клиента. Для генерации ложного ответа необходимо выполнение нескольких пунктов. Во-первых, совпадение IP-адреса отправителя ответа с адресом DNS-сервера. Затем, совпадение имен, содержащихся в DNS–ответе и запросе. Кроме того, DNS–ответ должен посылаться на тот же порт, с которого был отправлен запрос. Ну и, наконец, в пакете DNS–ответа поле ID должно совпадать с ID в запросе.

Первые два условия реализуются просто. А вот третий и четвертый пункт - сложнее. Обе задачи решаются подыскиванием нужный порта и ID методом перебора. Таким образом, у хакера есть все необходимое, чтобы атаковать жертву. Механизм этой атаки заключается в следующем. Жертва посылает на DNS–сервер запрос и переходит в режим ожидания ответа с сервера. Хакер, перехватив запрос, начинает посылать ложные ответные пакеты. В результате на компьютер клиента приходит шквал ложных ответов, из которых отсеиваются все, кроме одного, в котором совпали ID и порт. Получив нужный ответ, клиент начинает воспринимать подставной DNS–сервер как настоящий. Хакер же, в свою очередь, в ложном DNS ответе может поставить IP-адрес любого ресурса.

Третий метод направлен на атаку непосредственно DNS–сервера. В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS. Как и в предыдущем случае, атака может проводиться из любой точки сети. При отправке клиентом запроса на DNS–сервер, последний начинает искать в своем кэше подобный запрос. Если до жертвы такой запрос никто не посылал, и он не был занесен в кэш, сервер начинает посылать запросы на другие DNS-сервера сети в поисках IP–адреса, соответствующего запрошенному хосту.

Для атаки хакер посылает запрос, который заставляет сервер обращаться к другим узлам сети и ждать от них ответа. Отправив запрос, злоумышленник начинает атаковать DNS потоком ложных ответных пакетов. Напоминает ситуацию из предыдущего метода, но хакеру не надо подбирать порт, так как все сервера DNS "общаются" по выделенному 53 порту. Остается только подобрать ID. Когда сервер получит ложный ответный пакет с подходящим ID, он начнет воспринимать хакера как DNS и даст клиенту IP–адрес, посланный атакующим компьютером. Далее запрос будет занесен в кэш, и при последующих подобных запросах пользователи будут переходить на подставной IP.

Простой DNS-флуд

Используя простой DNS-флуд, злоумышленник отправляет множественные DNS-запросы на DNS-сервер, переполняя сервер запросами и потребляя его ресурсы. Такой метод атаки является привлекательным, поскольку он относительно прост в исполнении и позволяет скрыть личность злоумышленников.

Злоумышленник генерирует DNS-пакеты, которые отправляются посредством UDP-протокола на DNS-сервер. Стандартный ПК может сгенерировать 1000 DNS-запросов в секунду, тогда как обычный DNS-сервер может обработать только 10000 DNS-запросов в секунду. Другими словами, для того, чтобы вывести из строя DNS-сервер, потребуется всего 10 компьютеров. Поскольку DNS-сервера главным образом используют UDP-протокол, злоумышленникам не требуется устанавливать соединения, и они могут изменить IP-адрес источника и замаскироваться. Это свойство также на руку злоумышленниками – атаку, исходящую от множества измененных IP-адресов источника, тяжелее отразить, чем ту, которая исходит от ограниченного списка IP-адресов.

Image:DNS-флуд.jpeg

Атака посредством отраженных DNS-запросов

Благодаря асимметричному характеру, атака с помощью отраженных DNS-запросов позволяет создать эффект переполнения, имея в распоряжении ограниченные ресурсы.

Злоумышленник отправляет DNS-запрос на один или несколько сторонних DNS-серверов, которые не являются реальными объектами нападения. Злоумышленники изменяют IP-адрес источника DNS-запроса на IP-адрес целевого сервера (объекта нападения), тогда ответ сторонних серверов будет отправлен на сервер, который является целью нападения.

В процессе атаки используется эффект усиления, при котором ответ на DNS-запрос в 3-10 раз больше, чем сам DNS-запрос. Другими словами, на атакуемый сервер поступает гораздо больше трафика по сравнению с небольшим количеством запросов, сгенерированных злоумышленником. Атака посредством отраженных запросов демонстрирует, что организации не требуется владеть DNS-сервером, чтобы стать объектом DNS-атаки, поскольку целью атаки является вывод из строя канала интернет-соединения или межсетевого экрана.

Image:атаки путем отражения DNS-запросов.jpeg

Атаки, выполняемые посредством отраженных DNS-запросов, могут включать несколько уровней усиления:

  • Естественный – DNS-пакеты, отправляемые в ответ на запрос, в несколько раз крупнее пакетов, которые отправляются при запросе. Таким образом, даже самая базовая атака может получить 3-4 кратное усиление.
  • Выборочный – ответы на DNS-запросы имеют различный размер: в ответ на некоторые DNS-запросы отправляется короткий ответ, в ответ на другие ответ гораздо больше. Более находчивый злоумышленник может сначала определить, какие доменные имена в ответе сервера имеют больший размер. Отправляя запросы только для таких доменных имен, злоумышленник может достигать 10-кратного усиления.
  • Настроенный вручную – на высоком уровне злоумышленники могут разработать определенные домены, для отправки имен которых требуется пакеты огромных размеров. Отправляя запросы только на такие специально созданные доменные имена, злоумышленник может достигать 100-кратного усиления.

Степень анонимности при такой атаке возрастает с увеличением ее размаха. Помимо изменения SRC IP (как при простом DNS-флуде), атака сама по себе производится не напрямую – запросы на атакуемый сервер отправляются сторонним сервером.

Атака с помощью рекурсивных DNS-запросов

Атака посредством рекурсивных запросов является наиболее сложным и асимметричным методом атаки на DNS-сервер, для ее организации требуются минимальные вычислительные ресурсы, а результат приводит к интенсивному потреблению ресурсов DNS-сервера, который подвергается нападению.

При такой атаке используются особенности работы рекурсивных DNS-запросов. В рекурсивных DNS-запросах, когда DNS-клиент делает запрос с именем, которое отсутствует в кэш-памяти DNS-сервера, сервер отправляет повторяющиеся запросы другим DNS-серверам до тех пор, пока нужный ответ не будет отправлен клиенту. Воспользовавшись особенностями данного процесса, злоумышленник отправляет рекурсивные запросы с использованием фальшивых имен, которые, как он знает, не существует в кэш-памяти сервера (смотрите пример скриншота экрана). Чтобы разрешить такие запросы, DNS-сервер должен обработать каждую запись, временно сохраняя ее, и отправить запрос другому DNS-серверу, затем дождаться ответа. Другими словами, потребляется все большее количество вычислительных ресурсов (процессора, памяти и пропускной способности), до тех пор, пока ресурсы не заканчиваются.

Image:Атака с помощью рекурсивных DNS-запросов.jpeg

Асимметричный характер рекурсивной атаки и низкая скорость затрудняют борьбу с такими атаками. Рекурсивная атака может быть пропущена как системами защиты, так и людьми, которые больше сосредоточены на выявлении атак с большим объемом.

Атака типа Garbage DNS

Как подразумевает ее название, такая атака переполняет DNS-сервер «мусорным» трафиком, отправляя пакеты данных большого размера (1500 байт или больше) на его UDP-порт 53. Концепция такой атаки состоит в том, чтобы переполнить сетевой канал пакетами данных большого размера. Злоумышленники могут генерировать потоки «мусорных» пакетов и с помощью других протоколов (UDP-порт 80 также часто используется); но при использовании других протоколов объект может остановить атаку, заблокировав порт на уровне ISP без каких-либо последствий. Протоколом, для которого такая защита недоступна, является протокол DNS, поскольку большинство организаций никогда не закроет этот порт.

Image:Атака типа Garbage DNS.jpeg

Защита от атак

DNS поверх HTTPS

Основная статья: DNS поверх HTTPS (DNS-over-HTTPS, DoH)

Domain Name System Security Extensions

Для обеспечения безопасности DNS планируется развертывание Domain Name System Security Extensions (DNSSEC). Однако DNSSEC не может оказать противодействие DDoS-атакам и сам по себе может быть причиной amplification-атак.

Атаки на DNS приобрели высокую популярность, поскольку они предоставляют злоумышленникам множество преимуществ:

  • Ведется атака на критически важную инфраструктуру – DNS-сервер является важным элементом инфраструктуры. Это означает, что если нарушается работа DNS-сервиса организации, отключается весь ее интернет-трафик. На более высоком уровне, если вывести из строя корневые DNS-серверы – весь интернет перестанет функционировать (что попыталась осуществить группа Anonymous в «Операции Blackout»).
  • Асимметричный характер атаки – асимметричное усиление позволяет атакам на DNS вызвать отказ в обслуживании, пользуясь ограниченными ресурсами и небольшим трафиком.
  • Сохранение анонимности – не использующий информацию о состоянии протокол DNS позволяет злоумышленникам изменить их IP-адрес источника и легко замаскироваться. Используя метод отражения, злоумышленник даже не посылает трафик непосредственно на объект атаки. В сегодняшних условиях, после большого количества арестов хакеров и членов группы Anonymous, сохранение анонимности является важным преимуществом.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT