Raporty o atakach na DNS

W wielu firmach, DNS to najsłabsze ogniwo w całej infrastrukturze IT

Między innymi taki wniosek wynika, z analizy raportów opublikowanych w zeszłym tygodniu przez 2 niezależne instytucje zajmujące się tematyką bezpieczeństwa infrastruktury sieci Internet.

Pierwszy z nich to 7 edycja “Worldwide Infrastructure Security Report” opracowany przez inżynierów z firmy Arbor Networks, Inc.
Raport jest bardzo szerokim opracowaniem, napisanym na podstawie ankiet wypełnionych przez 114 operatorów Tier 1, Tier 2, Tier 3 oraz firmy hostingowe, centra kolokacji (DC) i hostingu oraz operatorów DNS.
Kolejnym ciekawym materiałem na temat bezpieczeństwa i ataków DDoS, jest opublikowany przez firmę Neustar, raport “2011 DDoS Attacks:Top 10 Trends & Truths“.

Poniżej przedstawiamy krótki przegląd ciekawych informacji dotyczących infrastruktury i bezpieczeństwa DNS w opraciu o oba raporty.

Raport “Worldwide Infrastructure Security Report” obejmuje prawie 70 stron, my skupiliśmy się na informacjach dotyczących ataków DDos na infrastrukturę DNS, które opisujemy poniżej.

Rysunek poniżej, wskazuje, że około 12 procent respondentów doświadczyło ataków DDoS na infrastrukturę DNS wpływających na jakość usług świadczonych klientom w okresie objętym badaniem (październik 2010 – wrzesień 2011).

Ataki DDoS na DNS
Ataki DDoS na DNS

Znaczący spadek w ciągu ostatniego roku może świadczyć o działaniach firm mających na celu zapewnienie niezbędnej, skalowalnej architektury w celu utrzymania dostępności usług podczas ataku. Infrastruktura DNS jest zarówno celem jak i wektorem ataku. Atakowanie autorytatywnych serwerów DNS dla danego serwera jest często najprostszym sposobem, aby skutecznie go zablokować. Taki atak powoduje, że odpowiednie rekordy DNS są nierozwiązywalne przez użytkowników internetu. W wielu przypadkach wymaga także znacznie mniej zasobów aby zakłócić działanie usług niż atakując serwery lub aplikacje bezpośrednio. Zmniejszony odsetek klientów cierpiących z powodu ataków DDoS to dobry znak świadczący o tym, że operatorzy DNS zaczynają brać pod uwagę DDoS przy rozbudowie swojej infrastruktury DNS.
Niestety, istnieje wiele niezabezpieczonych serwerów DNS wykorzystywanych jako narzędzie ataku. Duża liczba nieprawidłowo skonfigurowanych otwartych rekursywnych serwerów, w połączeniu z brakiem filtrowania anti-spoofing pozwala na przeprowadzenie dużego wielo-giabitowego ataku z wykorzystaniem technik odbicia i wzmocnienia ataku.

Ataki DDos na rekursywne i autorytatywne serwery DNS

Ataki DDos na rekursywne i autorytatywne serwery DNS
Ataki DDos na rekursywne i autorytatywne serwery DNS

Jak zaznaczono na rysunku powyżej, w okresie objętym badaniem odpowiednio, 20 procent respondentów stwierdziło, że doświadczyło
ataku DDoS na swoje rekursywne serwery DNS w ciągu ostatnich 12 miesięcy, podczas gdy prawie 24 procent stwierdziło, że miało takie
doświadczenie z atakami na autorytatywne serwery DNS. Ponad 18 procent nie wiedziało, czy doświadczyło takich ataków w okresie kontrolnym. To wskazuje, że operatorzy serwerów DNS powinni być bardziej zorientowani na poprawę analizy ruchu do swoich serwerów nazw.

DNSSEC

Nastąpiła znaczna pozytywna zmiana w ciągu ostatnich 12 miesięcy jeżeli chodzi o wdrożenie ochrony DNS dzięki DNSSEC. 37 procent pytanych firm planuje wdrożyć DNSSEC w ciągu najbliższych 12 miesięcy, podczas gdy ponad 22 procent już rozpoczęło wdrażanie, a prawie 9 procent wskazały pełne wdrożenie w swoich sieciach.

Stan wdrożenia DNSSEC
Stan wdrożenia DNSSEC

 

Na koniec przyjrzyjmy się drugiemu ze wspomnianych raportów ataków DDoS, opublikowanym przez firmę Neustar, raport “2011 DDoS Attacks:Top 10 Trends & Truths“. I w tym raporcie jako jeden z dziesięciu trendów w atakach DDoS możemy przeczytać o DNS.
Dla wielu firm, DNS jest to najsłabsze ogniwo w całej firmowej infrastrukturze IT.
Około 10% wszystkich ataków DDoS to docelowe ataki na serwery nazw. Niestety, wiele organizacji nie zdaje sobie sprawy jak poważne konsekwencje mogą dosięgnąć firmę, w przypadku niedostępności serwerów DNS. A skutkuje to nie tylko wyłączeniem DNS, ale może doprowadzić niedostępności innych usług jak e-mail, strony WWW, konta FTP. Szczególnie jeżeli serwery DNS współdzielą łącze internetowe lub fizyczny serwer z innymi usługami, w takim przypadku atak DDoS na DNS powoduje kompletne wyłączenie innych usług.

Na koniec specjaliści z Neustar nie mają dobrych wieści, ataki DDoS na DNS są atakami, które należą do najtrudniejszych do odparcia i większość organizacji nie ma możliwości aby je zablokować. Niestety ataki te zyskują coraz większą popularność, i to może stanowić problem dla firm w 2012 roku.

Wpis pochodzi z bloga Quality DNS

Dodaj komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.