Wzrost ataków na DNS o 170%

Wzrost ataków na DNSAtaki, które wykorzystują system DNS nie są niczym nowym, o czym pisaliśmy rok temu w naszym raporcie. Jednak w 2012 roku ich skala wzrosła zaskakująco. Obecnie tego typu ataki są przeprowadzane dużo częściej, a dodatkowo są bardziej zaawansowane niż jeszcze kilka lat temu.

Czemu zawdzięczamy ten wzrost?

Rok 2010 był rokiem ataków DoS/DDoS, głównie dzięki grupie Anynoumos. Na początku firmy i organizacje nie były przygotowane na tego typu ataki, ale w ciągu kolejnego roku nadrobiły zaległości. W 2011 hakerzy zaczęli poszukiwać nowych metod ataku na dużą skalę kierując swoje zainteresowanie ku DNS.

Ankiety wskazują wzrost ataków na DNS o 170% w roku 2012 w porównaniu z rokiem 2011. Około połowa z nich to ataki wysoce wyspecjalizowane m. in. ataki na rekursywne serwery DNS lub ataki typu “‘amplification”.

Ataki z wykorzystaniem DNS pokazały, że nie tylko brutalna siła jak w przypadku DoS/DDoS, ale również wyspecjalizowane ataki przy pomocy DNS odnoszą skutek. Dzięki swojej asymetrycznej naturze DNS daje możliwość wielokrotnego wzmocnienia siły ataku, co równocześnie obniża koszt jego wykonania.

Najbardziej spektakularne ataki na DNS w roku 2012

W sierpniu 2012 atak na serwery DNS giganta telekomunikacyjnego AT&T trwał 8 godzin. Serwery zostały skutecznie zablokowane czego efektem był brak dostępu do strony głównej firmy jak i serwisów biznesowych z których korzysta sieć AT&T.

10 listopada 2012 jeden z największych rejestratorów domen – firma GoDaddy była celem udanych ataków. Zmasowany atak na serwery DNS spowodował niedostępność serwisu GoDaddy.com jak i wielu tysięcy domen i usług klientów. Jak się później okazało nie były to ostatnie problemy GoDaddy z bezpieczeństwem.

Były też ataki nieudane, jak zapowiadany na 31 marca 2012 atak Anonymous na Root Serwery. Grupa planowała przeprowadzić atak metodą Reflected DNS, jednak atak nigdy nie nastąpił.

4 typy ataków na DNS

Podstawowy DNS flood

Atakujący wysyła do serwera wiele zapytań DNS wysycając tym samym jego zasoby. Jeżeli pojedynczy serwer DNS jest w stanie przyjąć, załóżmy 10 tys. zapytań, a jeden zwykły komputer PC jest w stanie wygenerować 1000 zapytań DNS, to prosto można policzyć, że 10 komputerów PC zablokuje ten serwer.

Atak DNS flood

Często przy tego typu atakach wykorzystuje się fakt, że pakiet UDP jest bezpołączeniowy i spoofuje się adres źródłowy fałszywym IP.

Reflecting DNS

Asymetryczność protokołu DNS umożliwia wygenerowanie relatywnie dużego ruchu przy wykorzystaniu małej ilości dostępnych zasobów. Atakujący wysyła zapytania DNS do zewnętrznego serwera DNS, który nie jest celem ataku. Zapytanie ma fałszywy adres IP “naszej ofiary”. Efektem czego odpowiedzi na zapytania trafiają do celu ataku, a nie atakującego. Odpowiedzi na zapytania DNS są większe (amplifikacja), często 3-10 krotnie i większe. Dzięki malej ilości zasobów byliśmy w stanie wygenerować dużo większy ruch.
Atak DNS Reflecting
Atak Reflecting DNS pokazuje, że aby stać się celem takiego ataku wcale nie trzeba posiadać własnej infrastruktury DNS. Uzmysławia też, że Twoja infrastruktura DNS może zostać wykorzystana do przeprowadzenia ataku.

Ataki reflecting można podzielić na 3 rodzaje :

  • Natywne – normalnie odpowiedzi są ok. 3-4 razy większe niż zapytania
  • Selektywne – gdzie wyszukiwane są duże rekordy. Wtedy amplifikacja może dochodzić do x10
  • Spreparowane – specjalne rekordy DNS zawierają mnóstwo informacji. Taki atak może uzyskać amplifikacje x100
Atak Rekursywny

To po prostu wysyłanie zapytań do serwera rekursywnego o dużą ilość nieistniejących domen. Serwer rekursywny wykonuje zapytanie dla każdej z nich wykorzystując dostępne zasoby. W ten sposób można wysycić zasoby serwera.

Atak na rekursywny DNS

Atak Garbage

Atak na otwarty port UDP 53. Zasypuje się go dużą ilością pakietów losowych danych wysycając zasoby serwera. Jest to atak na usługę DNS, ale nie bezpośrednio na sam DNS jako taki.

Atak garbage DNS

Dlaczego będziemy mieli coraz częściej do czynienia z atakami na DNS?

  1. DNS jest krytyczną infrastrukturą dla działania Internetu
  2. Protokół DNS jest asymetryczny, dzięki czemu przy stosunkowo małych zasobach ze strony atakującego można przeprowadzić atak o dużej skali.
  3. DNS jest anonimowy, dzięki bezpołączeniowej naturze systemu DNS można fałszować pakiety, atak można też przeprowadzić z użyciem serwerów innych firm.

Więcej informacji:

1. Nie było ataku na Root Serwery
2. Problemy GoDaddy z DNS
3. Radware’s 2012 Global Application and Network Security Report
4. Raporty o atakach na DNS

Rafał Galiński

One Comment

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *