[Информационная безопасность, DNS] NXNSAttack или что делать с DDoS-атакой, усиленной в 163 раза
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В мае группа израильских исследователей сообщила о новой уязвимости DNS-серверов, которую можно использовать для усиления DDoS-атак. Авторы утверждают, что при атаке с помощью DNS-резолверов коэффициент амплификации пакетов (PAF – packet amplification factor) достигает 1621, а пропускной способности (BAF – bandwidth amplification factor) — 163. Уязвимыми оказались все DNS-серверы с поддержкой рекурсивной обработки запросов, в т.ч. публичные Amazon, Google, Cloudflare, ICANN и Quad9. Мы разобрались, как осуществляется атака и как ей противостоять. Во всем виноваты резолверыDNS-службы, как известно, нужны для получения данных о доменах, в том числе для преобразования доменов в IP-адреса. Но, согласно отчету израильских ИБ-исследователей, DNS-резолверы можно использовать и для усиления DDoS-атаки на атакуемый сервер. На каждый отправленный запрос они позволяют отправить на сервер жертвы до 1621 пакета и увеличить количество трафика в 163 раза. В таблице приведена подробная информация о степени влияния трех вариантов атаки (a, b и c) на рекурсивный резолвер и DNS-сервер BIND 9.12.3:
Как устроена NXNSAttackВ ходе исследования израильским специалистам удалось превратить единственный DNS-запрос, отправленный резолверу, в полноценную DDoS-атаку. Для этого они эксплуатировали механизм делегирования операции по выявлению IP-адреса домена. Обычно запрос на выполнение этой задачи DNS-сервер получает от рекурсивного резолвера, но в некоторых случаях, например, в целях защиты от DNS-спуфинга, он может делегировать ее дальше — другим серверам. Этим и воспользовались ИБ-исследователи. Посмотрим, как это работает на простом примере:
- Сначала злоумышленник отправляет запрос на DNS-резолвер, чтобы получить IP-адрес домена (скажем, attacker.com). При этом атакующий контролирует авторитативный сервер, отвечающий за этот домен.
- Рекурсивный резолвер перенаправляет операцию DNS-серверу, контролируемому злоумышленником.
- DNS-сервер атакующего отвечает рекурсивному резолверу списком NS-серверов, которым он делегирует операцию. В перечне могут содержаться несколько тысяч несуществующих поддоменов сайта жертвы (rand1.victim.com, rand2.victim.com и т.д.) без указания IP-адресов.
- Поскольку приведенные в перечне NS-серверы не существуют, рекурсивный резолвер будет раз за разом отправлять запросы авторитативный серверу жертвы, чтобы узнать их IP-адреса. Таким образом один запрос злоумышленника может привести к масштабной атаке на DNS-сервер жертвы.
Механизм атаки NXNSAttack Источник: nic.czРезультатом атаки могут стать сбои в работе DNS-сервера жертвы, после отключения которого пользователи не смогут попасть на сайт victim.com, т.к. резолвиться это доменное имя уже не будет.Кто уязвимУже почти никто. По большей части разработчики DNS-серверов давно выпустили патчи и поделились рекомендациями о том, как значительно снизить коэффициент амплификации. Официальная информация от компаний собрана ниже:DNS-серверСостояниеAmazonИсправленоCloudflareИсправленоICANNИсправленоISC BINDРекомендации / Уязвимость CVE-2020-8616Google.comИсправленоMicrosoftРекомендацииNIC.CZ Knot ResolverИнформация / Уязвимость CVE-2020-12667NLnet Labs UnboundУязвимость CVE-2020-12662Oracle (DYN)ИсправленоPowerDNSУязвимость CVE-2020-10995Quad9ИсправленоVerisignИсправленоИнтересно, что для разных служб коэффициент амплификации может отличаться в десятки раз. Если для Google он составил лишь 30, то для Comodo Secure — 435, а для Norton ConnectSafe — уже все 569.
PAF — максимальный коэффициент амплификации пакетов Источник: NXNSAttack PaperКак защититьсяЕсли вы владелец сайта, перенесите записи для доменов на защищенный DNS-сервер — подробней о том, как это сделать, можно узнать на нашем сайте. Для администраторов DNS-серверов рекомендации следующие:
- В первую очередь обновите ПО DNS-резолвера до последней версии. По мнению экспертов, NXNSAttack основана на одном из фундаментальных принципов DNS-протокола, поэтому полностью избавиться от уязвимости нельзя, но можно существенно смягчить последствия ее эксплуатации.
- На системах с DNSSEC рекомендуется использовать стандарт RFC-8198. Это позволит DNS-резолверу проверять вредоносные запросы и выявлять несуществующие доменные имена без обращений к авторитативному серверу. Чтобы реализовать это, достаточно использовать проверку диапазона поддоменов через DNSSEC.
- Еще одно решение — ограничить количество доменных имен, которые могут быть определены авторитативному серверу при получении делегированного DNS-запроса. Сложность этого метода заключается в том, что подобные ограничения не предусмотрены DNS-протоколом, а то есть могут привести к непредвиденным проблемам на некоторых конфигурациях серверов.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Open source, GitHub, Софт] Программу для взлома паролей 1Password удалили с Github, а её автор исчез
- [Информационная безопасность, Открытые данные] Разведка на основе открытых источников
- [Информационная безопасность, Криптография, Open source, Лайфхаки для гиков] Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их
- [Информационная безопасность, Софт] Взломанный сервер обновлений SolarWinds был защищён паролем 'solarwinds123'
- [Информационная безопасность, Управление разработкой] DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер
- [Информационная безопасность, Криптография] Криптоанализ резиновым шлангом и методы его предотвращения
- [Информационная безопасность, Криптография, Алгоритмы] Обобщённый алгоритм визуальной криптографии (перевод)
- [Информационная безопасность, Совершенный код, Управление продуктом, Софт] Строим безопасную разработку в ритейлере. Итоги одного большого проекта
- [Информационная безопасность, Машинное обучение, Интернет вещей] Информационная безопасность устройств IoT c использованием аппаратной поддержки
- [Информационная безопасность, Программирование, Софт] Антирекорд 2020: в ПО выявили уязвимостей больше, чем в любой другой год
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_dns, #_ddos, #_ddosataka (ddos-атака), #_ddoszaschita (ddos-защита), #_dnsserver (dns-сервер), #_ujazvimosti (уязвимости), #_zaschita_sajta (защита сайта), #_zaschita_ot_ddos (защита от ddos), #_sld, #_blog_kompanii_ddosguard (
Блог компании DDoS-Guard
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_dns
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:51
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В мае группа израильских исследователей сообщила о новой уязвимости DNS-серверов, которую можно использовать для усиления DDoS-атак. Авторы утверждают, что при атаке с помощью DNS-резолверов коэффициент амплификации пакетов (PAF – packet amplification factor) достигает 1621, а пропускной способности (BAF – bandwidth amplification factor) — 163. Уязвимыми оказались все DNS-серверы с поддержкой рекурсивной обработки запросов, в т.ч. публичные Amazon, Google, Cloudflare, ICANN и Quad9. Мы разобрались, как осуществляется атака и как ей противостоять. Во всем виноваты резолверыDNS-службы, как известно, нужны для получения данных о доменах, в том числе для преобразования доменов в IP-адреса. Но, согласно отчету израильских ИБ-исследователей, DNS-резолверы можно использовать и для усиления DDoS-атаки на атакуемый сервер. На каждый отправленный запрос они позволяют отправить на сервер жертвы до 1621 пакета и увеличить количество трафика в 163 раза. В таблице приведена подробная информация о степени влияния трех вариантов атаки (a, b и c) на рекурсивный резолвер и DNS-сервер BIND 9.12.3:  Как устроена NXNSAttackВ ходе исследования израильским специалистам удалось превратить единственный DNS-запрос, отправленный резолверу, в полноценную DDoS-атаку. Для этого они эксплуатировали механизм делегирования операции по выявлению IP-адреса домена. Обычно запрос на выполнение этой задачи DNS-сервер получает от рекурсивного резолвера, но в некоторых случаях, например, в целях защиты от DNS-спуфинга, он может делегировать ее дальше — другим серверам. Этим и воспользовались ИБ-исследователи. Посмотрим, как это работает на простом примере:
 Механизм атаки NXNSAttack Источник: nic.czРезультатом атаки могут стать сбои в работе DNS-сервера жертвы, после отключения которого пользователи не смогут попасть на сайт victim.com, т.к. резолвиться это доменное имя уже не будет.Кто уязвимУже почти никто. По большей части разработчики DNS-серверов давно выпустили патчи и поделились рекомендациями о том, как значительно снизить коэффициент амплификации. Официальная информация от компаний собрана ниже:DNS-серверСостояниеAmazonИсправленоCloudflareИсправленоICANNИсправленоISC BINDРекомендации / Уязвимость CVE-2020-8616Google.comИсправленоMicrosoftРекомендацииNIC.CZ Knot ResolverИнформация / Уязвимость CVE-2020-12667NLnet Labs UnboundУязвимость CVE-2020-12662Oracle (DYN)ИсправленоPowerDNSУязвимость CVE-2020-10995Quad9ИсправленоVerisignИсправленоИнтересно, что для разных служб коэффициент амплификации может отличаться в десятки раз. Если для Google он составил лишь 30, то для Comodo Secure — 435, а для Norton ConnectSafe — уже все 569.  PAF — максимальный коэффициент амплификации пакетов Источник: NXNSAttack PaperКак защититьсяЕсли вы владелец сайта, перенесите записи для доменов на защищенный DNS-сервер — подробней о том, как это сделать, можно узнать на нашем сайте. Для администраторов DNS-серверов рекомендации следующие:
=========== Источник: habr.com =========== Похожие новости:
Блог компании DDoS-Guard ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_dns |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:51
Часовой пояс: UTC + 5