Как задудосить днс сервер
Перейти к содержимому

Как задудосить днс сервер

  • автор:

DDoS-атаки с DNS-усилением: как это работает и как их остановить?

DDoS-атаки с DNS-усилением: как это работает и как их остановить?

DDoS-атаки с DNS-усилением (или Амплификация DDoS-атаки с помощью DNS) — это один из популярных способов, используемый злоумышленниками для увеличения пропускную способности своих атак, которые они могут нацелить на потенциальные жертвы. Сам способ не является чем-то новым — первые упоминания о подобных атаках датируются еще серединой 2000-х годов. Но с тех пор мало что изменилось, кроме, пожалуй, количества и мощности таких атак (ведь если работает, зачем что-то менять?). И основная причина все та же: сотни тысяч неправильно сконфигурированных DNS-серверов во Всемирной Сети, принимающие и отвечающие на любой запрос от любого пользователя в Интернете.

DDoS-атаки с усилением

Представьте себе, что вы злоумышленник и управляете ботнетом, способным отправлять, предположим для примера, 100 Мбит/с трафика. Хотя этого может быть достаточно, чтобы на время парализовать работу некоторых сайтов, это довольно незначительный объем трафика в мире DDoS. Чтобы увеличить объем вашей атаки, вы можете попробовать добавить в свой ботнет больше скомпрометированных устройств. Это довольно сложная задача, требующая значительных затрат времени и ресурсов. Но есть и альтернативный вариант — вы можете найти способ превратить свои 100 Мбит/с во что-то гораздо большее. И помогут вам в этом невнимательность и откровенные ошибки, допущенные системными администраторами вполне легальных ресурсов.

Первоначальная атака усиления была известна как SMURF атака, которая включала в себя отправку злоумышленником ICMP-запросов (другими словами, ping-запросов) на сетевой широковещательный адрес маршрутизатора (то есть, формата X.X.X.255), настроенного для ретрансляции этого ICMP-запроса на все устройства, находящихся за этим маршрутизатором.

Злоумышленник подменяет источник ICMP-запроса на IP-адрес предполагаемой жертвы. Поскольку ICMP не включает квитирование установления связи, у устройства назначения нет способа проверить, является ли исходный IP-адрес легитимным. Маршрутизатор получает запрос и передает его всем находящимся за ним устройствам. Затем все эти устройства начинают отвечать на этот ping-запрос. Злоумышленник может усилить атаку в разы, в зависимости от того, сколько устройств находится за маршрутизатором (то есть, если за маршрутизатором расположено 5 устройств, то злоумышленник может усилить атаку в 5х раз, если 100 устройств, то в 100х раз, как это показано на рисунке 1).

Диаграмма, иллюстрирующая общий принцип осуществления злоумышленниками атаки усиления.

Рисунок 1. Диаграмма, иллюстрирующая общий принцип осуществления злоумышленниками атаки усиления.

На данный момент SMURF-атаки остались в прошлом. В большинстве своем сетевые операторы настроили свои маршрутизаторы так, чтобы не ретранслировать запросы ICMP, отправленные на широковещательный адрес сети, и подобный метод стал малоэффективен. Однако, даже когда этот вектор атаки усиления закрылся, другие остаются широко открытыми, причем уже на протяжении очень долгого периода времени.

Амплификация DDoS-атаки с помощью DNS

С точки зрения злоумышленника, существует два критерия для хорошего вектора атаки с усилением:

  1. Запрос может быть установлен с поддельным IP-адресом источника (например, через такой протокол, как ICMP или UDP, который не требует квитирования установления связи).
  2. Ответ на запрос должен быть значительно больше, чем сам запрос.

DNS — это основополагающая и повсеместная Интернет-платформа, которая практически идеально соответствует этим критериям и, соответственно, стала одним из крупнейших источников амплификации DDoS-атак.

Запросы DNS обычно передаются через протокол UDP, а это означает, что, как и запросы ICMP, используемые в атаке SMURF, эти запросы отправляются и забываются. В результате атрибут их источника может быть подделан, а получатель, прежде чем ответить на запрос, не имеет никакой возможности определить его достоверность. К тому же, DNS также может генерировать гораздо больший ответ, чем сам запрос. Например, можно отправить подобный очень «крошечный» запрос (пример такого запроса показан на рисунке 2, где «X.X.X.Х» — это IP-адрес открытого преобразователя DNS) и получить следующий «гигантский» ответ (пример такого ответа показан на рисунке 3).

Пример «крошечного» запроса, используемого злоумышленниками для осуществления усиления DDoS-атаки с помощью DNS.

Рисунок 2. Пример «крошечного» запроса, используемого злоумышленниками для осуществления усиления DDoS-атаки с помощью DNS.

Пример «гигантского» ответа, отправку которого на IP-адрес предполагаемой жертвы могут добиться злоумышленники при реализации DDoS-атаки с DNS-усилением.

Рисунок 3. Пример «гигантского» ответа, отправку которого на IP-адрес предполагаемой жертвы могут добиться злоумышленники при реализации DDoS-атаки с DNS-усилением.

В приведенном выше примере 64-байтовый запрос превращается в 3223-байтовый ответ. Таким образом, злоумышленник может добиться более чем 50-кратного усиления любого трафика, который он может направить к открытому преобразователю DNS. Другими словами, для киберпреступника, управляющего ботнетом размером всего в несколько сотен Мбит/с трафика, не составит особого труда сформировать и осуществить DDoS-атаку в несколько десятков Гбит/c. Обратите внимание, как по иронии судьбы увеличилась эффективность DDoS-атаки с DNS-усилением из-за увеличения размера ответа, вызванного включением в него огромных ключей DNSSEC — протокола, разработанного для повышения безопасности DNS-систем.

Открытые преобразователи DNS: проклятие Интернета

Открытые преобразователи DNS: проклятие Интернета

Ключевой термин, используемый уже несколько раз в этой статье — «открытый преобразователь DNS». Лучшей практикой, если ваша компания использует рекурсивный преобразователь DNS, будет убедиться, что он отвечает только на запросы авторизованных клиентов. Другими словами, если вы используете рекурсивный DNS-сервер для своей компании, и IP-пространство вашей компании составляет, например, «5.5.5.0/24» (то есть, диапазон IP-адресов «5.5.5.0 — 5.5.5.255»), то ваш DNS-сервер должен отвечать только на запросы из этого диапазона IP-адресов. И, например, если запрос поступает из IP-адреса «9.9.9.9», то ваш DNS-сервер не должен отвечать вовсе.

Проблема в том, что многие люди, использующие преобразователи DNS, оставляют их открытыми, и такие DNS-сервера готовы отвечать на любой IP-адрес, который их запрашивает. Это известная проблема, которой уже почти два десятка лет. Но основное, что изменилось за это время, так это то, что многие ботнеты активно «прошуршали» IP-пространство Интернета, чтобы обнаружить доступные открытые преобразователи DNS. И после подобного усовершенствования такие ботнеты стали серьезным оружием в руках своих владельцев-злоумышленников, предоставляя им возможности для проведения очень мощных и продолжительных DDoS-атак с DNS-усилением.

Таким образом, если ваша компания использует открытый рекурсивный преобразователь DNS, вам следует его как можно скорее закрыть. Оставить его открытым автоматически будет означать, что вы продолжите оказывать пассивную помощь в многочисленных DDoS-атаках. Так, если вы используете наиболее распространенную открытую реализацию DNS-сервера BIND, то вы можете внести в свой файл конфигурации одно или несколько из ниже предлагаемых изменений, чтобы ограничить возможности киберпреступников, злоупотребляющих вашей сетью:

  • Отключить рекурсию для параметров службы DNS («recursion no»).
  • Разрешить DNS-запросы для DNS-сообщений с адресами источника в сетевом блоке IP-пространства только вашей собственной корпоративной сети.
  • Настройки параметров «allow-query-cache» также можно использовать для ограничения IP-адресов, разрешенных для получения ответов из кеша DNS-сервера.

Вступайте в Telegram канал проекта NetworkGuru, чтобы не пропустить интересные статьи и вебинары.

Появились вопросы или нужна консультация? Обращайтесь!

Антон Кочуков

Вечный параноик, Антон Кочуков.

Как я поборол DDoS за 15 минут

Сегодня я бы хотел рассказать об одном удачном опыте из своей жизни. О том, как я отбил DDoS атаку на свой сайт, не имея особых технических навыков. Эта статья может быть для вас полезна, а кому-то просто интересна. Сразу скажу, что это не универсальный метод и подходит не всем. Но для отражения мелких и средних атак самое то.

Начну с того, что в мире сейчас большими темпами растет DDoS пиратство. Злоумышленники все чаще стали вымогать деньги, под предлогом обрушения DDoS. Многие боятся и платят, а потом платят еще и еще. Ошибка номер один, а вернее совет: никогда не платите хакерам. Во-первых, вас просто могут обманывать, у многих из тех кто занимается угрозами — нет возможности атаковать ваш сайт. Во-вторых, заплатите один раз, заплатите и второй и третий и четвертый, а в итоге все равно наймете специалистов для защиты.

Я никогда не думал, что со мной может это случится. Представлял это так: для того, чтобы тебя атаковали, нужно кому-то насолить. Но мои суждения были ошибкой. Одним из субботних вечеров, когда я отдыхал от повседневной работы, на email свалилось письмо. Некто требовал, чтобы я перечислил некое количество Bitcoin, эквивалентной сумме 1000$. Иначе мне грозили DDoS атакой. Я немного запаниковал. Был выходной день, моего администратора не будет до понедельника. Что делать и куда обращаться? Этот вопрос мучал меня. Я стал гуглить. На многих форумах люди советовали не платить и сразу написать злоумышленнику, что оплаты не будет. Там я и узнал, что часто это просто навсего развод. Но мне не повезло. На мое письмо хакер ответил одним словом: “ОК”. А еще через 10 минут мой сайт уже был не доступен. Я не знал что делать, мой сайт, это коммерческий проект и простой каждой минуты для меня был убытком. Конечно, я сразу подумал, что надо воспользоваться услугами компаний профильных в этом деле. Но меня пугало то, что это будет все очень долго, к тому же была суббота.

И тогда я стал думать. Думать как мои знания мне могут помочь в этой ситуации. И вдруг меня осенило. Как-то давно, когда я только начинал свой проект, я пытался самостоятельно построить CDN (Content Delivery Network). Тогда, как и сейчас не хватало знаний в административной части и я не реализовал свою идею. Но зато остались кое-какие знания. В частности, я научился распределять DNS запросы в зависимости от положения пользователя. То есть когда пользователь вбивает домен моего сайта, DNS определяет его местоположение и отправляет на нужный сервер.
Я помню как пытался узнать у хабрасообщества, как это сделать своими силами, кто-то даже дал ответ, но сам я не смог все настроить на своем сервере. Зато нашел компанию, которая позволяет все делать из красивого интерфейса. Сразу скажу, что это не бесплатно, сейчас стартовый тариф стоит 7$ в месяц. Можно указать индивидуальный IP для каждой страны, а можно сразу и для всего континента.

image

Я понимал, что DDoS скорее всего идет с ботов, которые находятся по всему миру. А 95% моих клиентов и пользователей сайта находятся в России. Вот так просто, я быстренько сменил DNS сервера на сервера компании о которой сказано выше. Далее для России указал IP адрес своего сервера, а для всех остальных стран указал 8.8.8.8 (upd: Люди в комментариях советуют не делать гуглу пакостей и писать тут 127.0.0.1). И вот уже через 5 минут мой сайт снова работал, а злоумышленник в ответ получил от меня все то же сообщение: “ОК”. В течении нескольких следующих дней, я конечно же нанял специалистов, которые теперь защищают мой сайт. Но вот такой полезный опыт остался и я делюсь с вами.

Конечно же, этот способ не подойдет для всех. У него есть минусы. В частности, если у вас много пользователей из разных стран. Но как вариант для быстрого реагирования — самое то. Надеюсь, эта статья кому-то поможет, но желаю, чтобы у вас всего этого не случилось.
Всем спасибо за внимание.

Атаки на DNS: типы и меры защиты

Серверы DNS нередко становятся целями кибератак, что неудивительно: система доменных имен (DNS) является одним из ключевых компонентов Интернета, и сбои на ее узлах оказываются весьма болезненными как для их владельцев, так и для их пользователей. Среди наиболее частых на сегодня видов киберударов по DNS — DDoS-атаки.

Цель DDoS-атак на DNS — добиться того, чтобы DNS-серверы не смогли обработать, по крайней мере, заметную часть поступающих к ним запросов, в результате чего клиенты этих серверов не могут получить доступ к сайтам по их доменным именам. Если атакованный DNS-сервер обеспечивает доступ к интернет-ресурсам в конкретном дата-центре, то доступ извне к этим ресурсам по их доменным именам тоже будет ограничен.

Отказ DNS-сервера в обслуживании может достигаться одним из двух способов. Первый, самый банальный — переполнение канала, связывающего сервер DNS с Интернетом. Второй способ, более хитрый — создание мощного потока нелегитимных запросов к DNS-серверу, обработка которых приводит к сильному снижению его производительности. Если мощности сервера окажется недостаточно, он может и вовсе на какое-то время стать недоступным.

Согласно статистике нашей компании, в первом полугодии 2022 года DNS атаки занимали второе место по общему числу DDoS-атак в России. В третьем квартале они переместились на «почетное» третье место. Как видим, угроза DDoS-атак остается актуальной, поэтому владельцам DNS-серверов и клиентам сервисов DNS нужно быть постоянно готовыми к новым подобным атакам, для этого необходима надежная схема защиты DNS-сервера от атак.

Виды DDoS-атак на серверы DNS

На практике чаще всего встречаются следующие векторы атак на сервисы DNS: DNS-флуд, атаки на DNS с отражением (DNS Reflection) и с усилением (DNS Amplification).

  • DNS-флуд строится на генерации потока нелегитимных запросов к DNS-серверу, выбранному в качестве жертвы. Мощность потока при этом должна быть достаточной, чтобы затруднить работу DNS-сервера или вовсе исчерпать его вычислительные ресурсы. Для организации атаки злоумышленники используют ботнеты, которые отправляют пакеты (зачастую некорректные) с запросами, указывая при этом сфальсифицированные (нередко сгенерированные случайным образом) IP-адреса. DNS-сервер пытается определить, что с такими запросами делать и каким образом их обработать, и расходует на эти цели существенную часть своих ресурсов — вплоть до полного их исчерпания. Отметим, что в этом типе DDoS-атак применяется прямое воздействие ботнетов на сервер DNS, поэтому такие атаки относят к категории симметричных.
  • Атаки на DNS с отражением организуются путем отправки поисковых запросов не на сам сервер-жертву, а на сторонние DNS-серверы, имеющие уязвимости, указывая в качестве обратного адреса IP-адрес сервера-жертвы. В результате на DNS-сервер, выбранный в качестве жертвы, приходит поток ответов, мощность которого оказывается во много раз больше, чем совокупная мощность исходного потока сфальсифицированных запросов к сторонним DNS-серверам. Таким образом, в атаках с отражением используется опосредованное, асимметричное DDoS-воздействие на DNS-сервер.
  • Атаки на DNS с усилением представляют собой усовершенствованный вариант DNS-атак с отражением: в них создается поток «отраженных» пакетов, во многие десятки раз больший по мощности, чем исходный поток поддельных запросов к сторонним DNS-серверам. Такой эффект может быть достигнут, например, путем отправки сфальсифицированных запросов определенного вида на сторонние DNS-распознаватели (DNS resolvers). Каждый из ответов будет в 60-70, а то и более раз длиннее исходного. При достаточной мощности исходного потока сфальсифицированных запросов ответы, отправленные к серверу-жертве, могут переполнить весь его канал связи с Интернетом. DDoS-атаки на DNS с усилением, также как и атаки с отражением, относятся к категории асимметричных.

Примеры DDoS-атак на DNS

Одна из недавних громких атак на DNS-серверы началась в конце февраля 2022 года, когда политически мотивированные злоумышленники нацелились на инфраструктуру компании RU-CENTER — одного из крупнейших в России регистраторов доменных имен и хостинг-провайдеров. Последствия этой атаки в скором времени почувствовала не только сама компания, но и многие ее клиенты, с которыми работаем и мы: их сайты были то доступны, то недоступны, причем такая нестабильность наблюдалась в общей сложности несколько суток. Наши специалисты помогли компании RU-CENTER восстановить работоспособность ее DNS-серверов, а подключение наших сервисов защиты позволило обеспечить их непрерывную доступность в дальнейшем.

Как видим, угрозы DDoS-атак на DNS-серверы вынуждены учитывать и клиенты организаций, владеющих автономными сетями, и, конечно же, сами эти организации. Что важно, этим атакам могут подвергнуться не только на регистраторы доменных имен, провайдеры хостинговых и облачных сервисов, но и, например, банки. Так, одними из первых в конце февраля 2022 года DDoS-ударам подверглись именно их DNS-серверы — злоумышленники рассчитывали таким образом вывести из строя сети банкоматов.

Риски DDoS-атак для владельцев DNS-серверов и их клиентов

Клиенты успешно атакованного DNS-сервера сталкиваются с нестабильностью или полным отсутствием доступа к сайтам по их доменным именам. Ситуация для клиентов усугубляется тем, что они не могут быстро подключить защиту DNS-серверов. Из-за того, что атакованный DNS-сервер не справляется с оперативной обработкой легальных запросов, замена прежних IP-адресов на защищенные от DDoS-атак может длиться по несколько часов, а не несколько минут, как обычно.

Владельцы незащищенного DNS-сервера могут столкнуться не только со сбоями в бизнес-процессах и простоями своих сотрудников, но также с претензиями и исковыми заявлениями своих клиентов. Часть из них наверняка предпочтет перейти к конкурентам, чьи сервисы DNS более надежно защищены от DDoS-атак. Какая-то часть непременно расскажет о сбое в своих новостях, блогах и соцсетях, что для владельцев DNS-серверов чревато репутационными издержками. При определенных условиях они вполне способны обернуться реальными финансовыми потерями.

Способы повышения устойчивости DNS-серверов к DDoS-атакам

Для тех, кто пользуется внешними сервисами DNS, главным способом повышения устойчивости к DDoS-атакам на DNS является резервирование этих сервисов. Чтобы его обеспечить, нужно подключиться, как минимум, к двум провайдерам сервисов DNS, причем хотя бы один из этих сервисов должен быть надежно защищен от DDoS-атак.

Владельцам собственных серверов для обеспечения безопасности DNS-сервера необходимо предпринять целый ряд мер. Прежде всего, нужно найти провайдера сервисов DDoS-защиты, имеющего сетевой фильтр с защитой DNS. Получив от клиента IP-адреса его DNS-серверов, этот провайдер установит подключение и запустит BGP-сессию, в которой клиент анонсирует нужные IP-префиксы в сеть провайдера. Получив анонсы, провайдер их примет и обеспечит фильтрацию трафика.

Следует обратить внимание на то, что далеко не все провайдеры защиты умеют ограждать DNS-серверы от DDoS-рисков. Наиболее компетентные, такие как StormWall, обладают богатым арсеналом способов фильтрации DNS-трафика от нелегитимных пакетов и умело применяют их в зависимости от особенностей конкретного клиента.

Многие другие наши рекомендации по защите DNS от DDoS из сформулированных ранее принципов защищаемости от DDoS-атак. Чтобы у злоумышленников было как можно меньше «полезной» информации о ваших ресурсах, нужно, во-первых, ограничить круг лиц, имеющих права системного администратора для доступа к серверам DNS. Важно при этом, чтобы те, кто имеют такие права, могли получать доступ только изнутри сети либо через VPN. Все неиспользуемые сетевые протоколы, сервисы и прочие функции DNS-серверов нужно отключить.

Кроме того, необходимо добиться устойчивости работы DNS-серверов в условиях слабых атак. Для этого нужно, чтобы достаточным запасом производительности и пропускной способности обладали не только сами серверы DNS, но и связанные с ними инфраструктурные компоненты, например балансировщики нагрузки серверов. Повысить отказоустойчивость DNS-серверов поможет и их размещение в разных дата-центрах. При этом желательно, чтобы они относились к разным сегментам сети и имели по несколько путей маршрутизации трафика, чтобы злоумышленники не смогли добиться отказа в обслуживании DNS-серверов простым переполнением их каналов доступа в Интернет.

Важно также отключить рекурсивную обработку запросов на DNS-серверах, поскольку злоумышленники могут использовать ее для спуфинга. Кроме того, полезно отключить перенос доменных зон на ваши DNS-серверы и запретить динамическое обновление зон DNS.

Как мы уже сказали, владельцам автономных сетей нужно быть постоянно готовыми к DDoS-атакам на них. А это означает, что необходимо заранее разработать план аварийного восстановления атакованных DNS-серверов — он может потребоваться, например, в случае, если атака не просто привела к деградации их производительности, но и сопровождалась спуфингом или другими действиями, нарушающими целостность их баз данных. И, очевидно, нужно заранее готовить специалистов к подобным ситуациям, чтобы они четко знали, кто и что должен делать, если они случатся.

Как предотвратить использование своего DNS-сервера в хакерских атаках

Как предотвратить использование своего DNS-сервера в хакерских атаках

Многие DNS-сервера сконфигурированы так, что позволяют хакерам использовать их ресурсы для DDoS-атак. Рассказываем, как можно этого избежать.

В наши дни наиболее массированные DDoS-атаки часто используют метод, называемый «DNS-усиление». В этом методе атакующий использует публично доступные DNS-сервера, чтобы «затопить» свою цель трафиком ответа от DNS-серверов. Атакующий отправляет запрос на определение по имени на публично-доступный сервер, но подставляет в качестве адреса источника адрес цели. Когда DNS-сервер отправляет ответ, он отправляет его на адрес цели. Поскольку величина ответа обычно больше, чем сам запрос, атакующий получает возможность увеличить размер трафика и направить его на цель, как бы «усиливая» его.

К сожалению, DNS-сервера часто остаются открытыми для использования их в таком виде атаки.

Лучшее, что может сделать любой админ – это ограничить, на какие запросы и кому DNS-сервера вообще отвечают. Для внутренних DNS-серверов убедитесь, что они отвечают только компьютерам внутри сети и другим авторизованным DNS-серверам.

Даже ваши внешние, публично-доступные DNS-сервера не должны отвечать на каждый запрос. Если ваш DNS-сервер отвечает на все запросы, особенно на запросы в отношении любого домена, то у вас потенциальная проблема.

ИСПОЛЬЗОВАНИЕ RESPONSE RATE LIMITING

Одна из лучших защит против того, чтобы ваш DNS-сервер использовался в хакерской атаке, это Response Rate Limiting (RRL). Хотя эта настройка не включена по умолчанию (а стоило бы!), она присутствует в BIND 9.9 и более поздних версиях, а также входит в DNS-сервисы, доступные в Windows Server 2016.

Если ваш DNS-сервер не поддерживает RRL, можно попробовать добиться того же эффекта, используя фильтры на файрволле или с использованием других анти-DDoS сервисов.

ОТКЛЮЧЕНИЕ РЕФЕРРАЛЬНЫХ ОТВЕТОВ «ВВЕРХ»

Ранее, когда DNS-сервер получал запрос на доменное имя, за которое он не отвечал, он отвечал, перенаправляя к DNS-серверам верхнего уровня. Атаки с использованием «DNS-усиления» сделали этот метод плохой практикой. BIND давно рекомендует отключить эту возможность, Microsoft собирается сделать отключенной эту возможность по дефолту в WindowsServer 2016. В более ранних версиях, вы можете просто стереть файл с так называемыми roothints(c:\windows\system32\DNS\cache.dns).

ПРОВЕРЬТЕ ВСЕ СЕРВИСЫ DNS

Определите все компьютеры и устройства, принимающий соединение на порт 53 в TCP или UDP, чтобы найти и сконфигурировать все устройства, на которых могут быть запущены сервисы DNS. Часто вы обнаружите устройства типа беспроводных роутеров, где могут быть неожиданные DNS-сервера.

По материалам InfoWorld

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *