В мае группа израильских исследователей сообщила о новом уязвимости DNS-серверы, которые можно использовать для усиления DDoS-атак.
Авторы утверждают, что при атаке с использованием DNS-резольверов коэффициент усиления пакетов (PAF) достигает 1621, а коэффициент усиления пропускной способности (BAF) — 163. Уязвимыми оказались все DNS-серверы, поддерживающие рекурсивную обработку запросов, в т.ч.
общедоступные Amazon, Google, Cloudflare, ICANN и Quad9. Мы разобрались, как осуществляется атака и как ей противостоять.
Во всем виноваты резольверы
Службы DNS, как известно, нужны для получения информации о доменах, в том числе для разрешения доменов в IP-адреса.Но, согласно отчету израильских исследователей информационной безопасности, преобразователи DNS также могут использоваться для усиления DDoS-атаки на атакуемый сервер.
За каждый отправленный запрос они позволяют отправить на сервер жертвы до 1621 пакета и увеличить объем трафика в 163 раза.
В таблице представлена подробная информация о влиянии трех вариантов атаки (a, b и c) на рекурсивный преобразователь и DNS-сервер BIND 9.12.3: 
Как работает NXNSAttack
В ходе исследования израильским специалистам удалось превратить одиночный DNS-запрос, отправленный на резолвер, в полноценную DDoS-атаку.Для этого они воспользовались механизмом делегирования операции по определению IP-адреса домена.
Обычно DNS-сервер получает запрос на выполнение этой задачи от рекурсивного преобразователя, но в некоторых случаях, например, в целях защиты от подмены DNS, он может делегировать ее дальше другим серверам.
Именно этим и воспользовались исследователи информационной безопасности.
Давайте посмотрим, как это работает, на простом примере:
- Сначала злоумышленник отправляет запрос DNS-преобразователю на получение IP-адреса домена (скажем, Attacker.com).
В этом случае злоумышленник контролирует авторитетный сервер, отвечающий за этот домен.
- Рекурсивный преобразователь перенаправляет операцию на DNS-сервер, контролируемый злоумышленником.
- DNS-сервер злоумышленника отвечает рекурсивному преобразователю списком NS-серверов, которым он делегирует операцию.
Список может содержать несколько тысяч несуществующих поддоменов сайта жертвы (rand1.victim.com, rand2.victim.com и т.д.) без указания IP-адресов.
- Поскольку указанные NS-серверы не существуют, рекурсивный преобразователь будет неоднократно отправлять запросы на авторитетный сервер жертвы, чтобы узнать их IP-адреса.
Таким образом, один запрос злоумышленника может привести к масштабной атаке на DNS-сервер жертвы.
Механизм атаки NXNSAttack Источник: nic.cz Результатом атаки могут стать сбои в работе DNS-сервера жертвы, после чего после отключения пользователи не смогут получить доступ к сайтужертвы.
com, т.к.
это доменное имя больше не будет разрешено.
Кто уязвим
Уже почти никого.По большей части разработчики DNS-серверов уже давно выпустили патчи и поделились рекомендациями, как существенно снизить скорость усиления.
Официальная информация от компаний собрана ниже:
| DNS-сервер | Состояние |
| Амазонка | Исправленный |
| Облачное сияние | Исправленный |
| ИКАНН | Исправленный |
| ISC ПРИВЯЗКА | Рекомендации /Уязвимость CVE-2020-8616 |
| Google.com | Исправленный |
| Майкрософт | Рекомендации |
| NIC.CZ Резолвер узлов | Информация /Уязвимость CVE-2020-12667 |
| NLnet Labs освобождена от ограничений | Уязвимость CVE-2020-12662 |
| Оракул (ДИН) | Исправленный |
| PowerDNS | Уязвимость CVE-2020-10995 |
| Quad9 | Исправленный |
| Веризайн | Исправленный |
Если у Google это было всего 30, то у Comodo Secure — 435, а у Norton ConnectSafe — уже 569. 
PAF — максимальный коэффициент усиления пакета.
Источник: NXNSAttack Paper.
Как защитить себя
Если вы являетесь владельцем сайта, перенесите записи своего домена на защищенный DNS-сервер — подробнее о том, как это сделать, вы можете узнать здесь.знать на нашем сайте.
Для администраторов DNS-серверов рекомендации следующие:
- Прежде всего, обновите программное обеспечение преобразователя DNS до последней версии.
По мнению экспертов, NXNSAttack основан на одном из фундаментальных принципов протокола DNS, поэтому полностью избавиться от уязвимости невозможно, но можно существенно смягчить последствия ее эксплуатации.
- В системах с DNSSEC рекомендуемые использовать стандартный RFC-8198 .
Это позволит преобразователю DNS проверять наличие вредоносных запросов и идентифицировать несуществующие доменные имена без необходимости обращаться к авторитетному серверу.
Для реализации этого достаточно использовать проверку диапазона поддоменов через DNSSEC.
- Другое решение — ограничить количество доменных имен, которые может определить авторитетный сервер при получении делегированного DNS-запроса.
Сложность этого метода в том, что подобные ограничения не предусмотрены протоколом DNS, а значит, могут привести к неожиданным проблемам на некоторых конфигурациях сервера.
-
Так Вот, Чей Это Компьютер?
19 Oct, 24 -
Издательство Питер. Весенняя Распродажа
19 Oct, 24 -
Написание Сообщений В Google Buzz Из Jabber
19 Oct, 24 -
Жизнь Проектов После Смерти Создателя
19 Oct, 24
