Что такое атаки DNS и как их предотвратить?
Атаки на систему доменных имен (DNS) являются обычным явлением, и каждый год жертвами этих типов атак становятся сотни веб-сайтов.
Чтобы защитить сеть от этой категории эксплойтов, важно понимать различные типы DNS-атак, а также лучшие методы их предотвращения.
Что такое DNS?
Система доменных имен (DNS) – это структурированная система имен, которая используется интернет-устройствами для поиска онлайн-ресурсов. Тем не менее, каждый веб-сайт в Интернете имеет уникальный IP-адрес, но людям будет сложнее вспомнить каждый веб-сайт по их IP-адресам, поскольку они являются буквенно-цифровыми.
Когда дело доходит до инфраструктуры DNS, существует два основных компонента, составляющих систему: авторитетные серверы, на которых размещается IP-информация, и рекурсивные серверы, которые участвуют в поиске IP-информации.
DNS-атаки могут быть использованы против любого из них.
Типы DNS-атак
Злоумышленники обычно используют различные методы, чтобы нарушить работу DNS. Ниже приведены некоторые из наиболее распространенных методов.
1. DNS-наводнения
DNS-поток использует векторы атаки распределенного отказа в обслуживании (DDoS) для нацеливания на серверы системы доменных имен и используется для нарушения доступа к определенным доменам.
Злоумышленники используют потоки DNS, чтобы завалить рекурсивные серверы DNS стеной незаконных запросов, не позволяя им адекватно обрабатывать законные запросы.
Обычно они получают трафик из множества мест, устройств и IP-адресов, что затрудняет различение нормального и «сгенерированного» трафика.
Ботнеты, управляющие тысячами IoT и взломанных компьютеров, обычно используются для этой схемы, а их исходные IP-адреса подделываются с помощью скриптов.
Меры по смягчению последствий
Существует множество способов предотвращения атак наводнения домена, в том числе установка протоколов проверки IP. Лучше всего для этого подходят системы обнаружения и блокировки аномалий машинного обучения.
Если проблема особенно серьезна и такие меры перехвата отсутствуют, деактивация рекурсивных DNS-серверов смягчит проблему, предотвратив большее количество ретрансляторов.
Ограничение запросов только от авторизованных клиентов – еще один способ решения проблемы. Также работает конфигурация с низким ограничением скорости ответа (RRL) на авторитетных серверах.
2. Отравление кэша DNS
Отравление кэша DNS включает в себя манипулирование DNS-сервером со стороны злоумышленников для перенаправления трафика с законных серверов. По сути, это уловка от сервера к серверу.
Злоумышленник может, например, изменить информацию на DNS-сервере Instagram так, чтобы он указывал на IP-адрес Twitter. В большинстве случаев перенаправления приводят посетителей на контролируемые хакерами сайты, на которых выполняются фишинговые, XSS-атаки и другие атаки на уязвимости.
В некоторых случаях атаки можно масштабировать, ориентируясь на интернет-провайдеров, особенно если некоторые из них полагаются на определенные серверы для получения данных DNS. После взлома основных серверов заражение становится систематическим и может затронуть маршрутизаторы клиентов, подключенные к сетям.
Меры по смягчению последствий
Чтобы предотвратить эти типы атак, DNS-серверы должны быть настроены так, чтобы меньше зависеть от внешних сетевых серверов. Это предотвращает соединение DNS-серверов злоумышленников с целевыми серверами.
Также помогает установка последней версии BIND на сервере. Это связано с тем, что в обновленных выпусках используются технологии транзакций с криптографической защитой и возможности рандомизации портов, позволяющие сократить атаки.
Наконец, атаки можно предотвратить, ограничив ответы DNS, чтобы они предоставляли только конкретную информацию о запрашиваемом домене и просто игнорировали запросы типа «ЛЮБОЙ». Ответ на ЛЮБЫЕ запросы заставляет распознаватель DNS предоставлять дополнительную информацию о запрошенном домене. Сюда входят записи MX, записи A и многое другое. Дополнительная информация использует больше системных ресурсов и увеличивает размер атаки.
3. Атаки типа "отказ в обслуживании" с распределенным отражением (DRDoS).
Распределенные отражающие атаки типа «отказ в обслуживании» (DRDoS) пытаются перегрузить инфраструктуру DNS, отправляя огромный объем запросов User Datagram Protocol (UDP).
Для этого обычно используются взломанные конечные точки. Пакеты UDP работают поверх IP-адресов для выполнения запросов к преобразователю DNS. Эта стратегия предпочтительна, потому что протокол связи UDP не требует подтверждения доставки, а запросы также могут дублироваться. Это упрощает создание перегрузки DNS.
В этом случае целевые преобразователи DNS пытаются ответить на поддельные запросы, но вынуждены выдавать огромное количество ответов об ошибках и в конечном итоге оказываются перегруженными.
Меры по смягчению последствий
Атаки типа "отказ в обслуживании" с распределенным отражением (DRDoS) являются одной из форм DDoS-атак, и для их предотвращения необходимо применить фильтрацию входящей сети для предотвращения спуфинга. Поскольку запросы проходят через преобразователи DNS, их настройка для разрешения запросов только с определенных IP-адресов поможет смягчить проблему.
Обычно это влечет за собой отключение открытой рекурсии, тем самым уменьшая лазейки для DNS-атак. Открытая рекурсия заставляет сервер принимать DNS-запросы с любого IP-адреса, и это открывает инфраструктуру для злоумышленников.
Установка ограничения скорости ответа (RRL) также предотвратит частоту случаев DRDoS-атак. Этого можно добиться, установив потолок ограничения скорости. Этот механизм не позволяет авторитетному серверу обрабатывать чрезмерное количество запросов.
4. Атаки NXDOMAIN
При атаке NXDOMAIN DNS целевой сервер переполнен запросами недопустимых записей. В этом случае обычно используются DNS-прокси-серверы (преобразователи). Их задача – запрашивать авторитетные DNS-серверы в поисках информации о домене.
Недопустимые запросы задействуют DNS-прокси и полномочные серверы и вызывают ответы об ошибках NXDOMAIN и вызывают проблемы с задержкой в сети. Поток запросов в конечном итоге вызывает проблемы с производительностью системы DNS.
Меры по смягчению последствий
Атаки NXDOMAIN DNS можно предотвратить, разрешив серверу сохранять в кэше больше информации о действительных запросах с течением времени. Эта конфигурация гарантирует, что даже во время атаки законные запросы могут пройти без дополнительного кэширования. Таким образом, запрошенная информация может быть легко извлечена.
Подозрительные домены и серверы, используемые в схеме, также могут быть заблокированы, тем самым высвобождая ресурсы.
5. Атаки на фантомные домены
Выполняя атаку на фантомный домен, злоумышленник начинает с настройки группы доменов так, чтобы они не отвечали или делали это очень медленно после получения DNS-запроса. В этом случае нацелены на рекурсивные серверы.
Они нацелены на огромное количество повторяющихся запросов к фантомным доменам. Длительные паузы в ответах приводят к накоплению нерешенных запросов, которые перегружают сеть и занимают ценные ресурсы сервера. В конечном итоге схема предотвращает обработку законных DNS-запросов и предотвращает доступ пользователей к целевым доменам.
Меры по смягчению последствий
Чтобы смягчить атаки фантомных доменов, поможет ограничение количества последовательных рекурсивных запросов на каждом сервере. Их можно дополнительно ограничить для каждой зоны.
Включение удержания DNS-сервера для запросов к неотвечающим серверам также предотвратит перегрузку системы. Эта функция ограничивает количество последовательных попыток на неотвечающих серверах, когда они достигают определенного порога.
Также работает увеличение количества рекурсивных серверов.
Защититесь от опасностей DNS
Каждый год DNS-злоумышленники придумывают множество необычных уловок, чтобы вывести из строя критически важную онлайн-инфраструктуру, и ущерб может быть огромным.
Для частных лиц и предприятий, которые в значительной степени полагаются на онлайн-домены, следование передовым рекомендациям и установка новейших технологий предотвращения DNS будет иметь большое значение для их предотвращения.