DNS AmplificationSaldırılarının Anlamı
Etki Alanı Adı Sistemi (DNS) geliştirme saldırısı, çeşitli dolaşımdaki yönetim reddi (DDoS) saldırılarından biridir. Bu nitelikteki farklı saldırılara çok benzer şekilde, saldırganların amacı, tepki vermeyi geciktirerek veya tamamen zayıflatarak müşterilerin belirli bir organizasyon, uygulama, site, yönetim ve karşılaştırmalı varlıkları kullanmasını engellemektir. DDoS saldırılarının büyük bir kısmı hacimseldir, bu da potansiyel olarak başa çıkabileceğinden daha fazla trafiğe sahip bir kuruluşa saldırmak anlamına gelir. Bir gösteri veya oyun için bir arenaya giderken altı yollu bir paralı yoldaki trafiği durdurma durumu olarak düşünün. Paralı yoldan geçen ve aynı anda arenaya girmeye çalışan pek çok araç olurdu.
DNS Amplifikasyon Saldırıları, karşılaştırmalı bir amaç veya hedefe ulaşmak için çeşitli prosedürler ve sistemler kullanır. Eyaletler arası çok sayıda araç yerine, trafiğin tamamını tıkayan altı uzun kamyonunuz olabilir. Burada trafiğin ilerlemesi çok sayıda araç tarafından değil, birkaç büyük araç tarafından engelleniyor. Bu fikir, DNS saldırılarında kullanılana benzer. Çok sayıda DDoS saldırısı, normal olarak ölçülen paketlerle onu güçlendirerek bir çerçeveyi şaşırtsa da, DNS Amplifikasyon Saldırıları daha büyük paketler kullanarak karşılaştırılabilir sonuçlar elde edebilir.
DNS Amplification Saldırılarının Nasıl Çalıştığını Görmek
Bir DNS Amplification Saldırısı sırasında, dış tehlikeler Etki Alanı Adı Sisteminin (DNS) olağan görevlerini istismar eder ve söz konusu kişiye saldırmak için onu bir silaha dönüştürür. Saldırganın amacı, site çökene kadar kuruluşun iletim kapasitesini emen sahte DNS talepleriyle siteyi doldurmaktır.
Saldırının nasıl gerçekleştiğini görmek için DNS'nin nasıl çalıştığını araştırmalıyız. Bir istemci bir programa www.example.com girdiğinde, DNS bu talebi kabul eden, alan adıyla ilgili IP adresini bulan ve etkileşimi bitirmek için programa geri gönderen web erişimidir. Böylece müşteri artık siteyle ilişki kurabilecekti.
Müşterinin aygıtının mahalle mağazasını kontrol etmesiyle başlayarak, o konumu bulmak için belirli bir döngü vardır; bulunamadığını varsayarak, dağıtılan İnternet Servis Sağlayıcısının (Isp'nin) DNS çalışanlarını (çözücüler) sorgulamak; keşfedilmezse, IP adresi bulunana kadar İnternet üzerinden bir DNS çözümleyici komuta zinciri boyunca devam eder. İçeride, kurumsal bir organizasyon normalde sadece temsilcileri için DNS taleplerini amaçlar, ancak İnternet, saldırganlar da dahil olmak üzere herkes için DNS taleplerini çözecek "açık", özgürce açık DNS çözümleyicileri ile yüklenir. Saldırganlar, bu açık çözümleyicileri kullanarak herhangi bir uyarıda bulunmadan birçok sahte talepte bulunabilirler.
Sonuç olarak, saldırganlar için sırada ne var? Artırma. Unutmayın, genellikle küçük DNS taleplerini devasa reaksiyonlara dönüştüreceklerdir. Normal bir DNS talebi (sadece birkaç satırlık metin) küçüktür - çoğunlukla birkaç bayt sırasında - ve biraz daha büyük bir tepki verir.
Saldırganlar, amaçlarına ulaşmak için, reaksiyonun boyutunu önemli ölçüde yoğunlaştıracak şekilde DNS talepleri yaratırlar. Bunu yapmak için bir yaklaşım, yalnızca www.example.com gibi bir sitenin IP adresinden değil, tüm alan hakkındaki verilerden (örneğin, "HERHANGİ" kayıt türü için DNS taleplerinin kullanılması) bahsetmektir, bu nedenle reaksiyon dahil edilebilir. alt alan adları, takviye çalışanları, posta çalışanları, takma adlar ve gökyüzü ile ilgili bilgiler oradan sınırdır. Aniden, 10 baytlık bir DNS talebi, 10, 20, hatta birkaç kat daha büyük bir reaksiyon üretebilir.
DNS Amplification Saldırılarında UDP'nin Rolü
Bu döngünün geçişi nedir? DNS tepkileri, planlanan kazazedeye değil, saldırgana geri gönderiliyor. Bu, Kullanıcı Datagram Protokolü'nün (UDP) saldırganlara bir miktar yardım ödünç verdiği yerdir.
İnternette her gün yapılan trilyonlarca DNS talebini düşünürseniz, DNS işlemlerinin yıldırım hızında gerçekleşmesi gerekir. DNS bunun için UDP'ye bağlıdır. Temel mesleği kaynaklar ve itirazlar arasında mesajlar dağıtmak olduğu için hızlıdır; bilgilerin iletilmesi veya onaylanması gibi farklı işler yapmaz. Ayrıca bağlantısız bir kural olduğu için hızlıdır, bu da "tartışmaları" izlemediği anlamına gelir, bu nedenle bir talepteki kaynak IP adresinin önemli olup olmadığını bilme şansı yoktur.
Bu nedenle, saldırganlar DNS taleplerinde söz konusu kişinin IP adresini kaynak IP adresini üretir (parodi). Bu teknik saldırganın karakterine yardımcı olur ve DNS çözümleyicisinden gelen tüm tepkilerin saldırganın değil yaralının çerçevesinden gönderilmesini garanti eder. Bu nedenle, DNS çözümleyicileri, hiçbir şeyden bahsetmeyen bir kazazedeye tepkileri "geri döndüren" yansıtıcılar olarak hareket ediyor.
Alternatif bir benzerlik kullanmak için, çeşitli sitelerde sahte bir yardıma ihtiyaç duyulan reklamı yayınlayarak ve planlanan kazazedenin e-posta adresini iletişim verilerinde yayınlayarak birinin bir kazazedeyi kandırdığını düşünün. Reklam yönetimi, talepte bulunan kişinin verilerini doğrulamazsa, promosyonu hiç konumlandırmamış olan söz konusu kişi, çok geçmeden istenmeyen e-posta tepkileriyle karşı karşıya kalacaktır. "Geliştirilmiş" bir yorumlama, yatırım yapılan bireylerden tepki vermelerini ve nitelikler, fotoğraflar, iş ve karakter referansları, ortaokul ve okul kayıtları, kişisel araştırma verileri vb. listesine katılmalarını isteyecektir. "Tepki" mesajları çok büyük olacaktır.
Verimli olmak için, bir saldırganın farklı DNS sorguları göndermesi gerekir ve muhtemelen bu saldırıyı yapmak için çok sayıda DNS çözümleyici kullanacaktır. Bu tür bir saldırının bir yararı, saldırganın bölümünde çok fazla varlığa ihtiyaç duymamasıdır - bir botnet gerekli değildir (saldırgan bir tanesini kullanabilir olsa da). Bir miktar sınırlı çaba ve varlıkla, bir saldırgan, bir kazazedenin sitesini, sergisini büyük ölçüde zayıflatacak veya tamamen kapatacak yeterli trafikle kuşatacak DNS talepleri oluşturabilir.
Yoldaki geniş yük kamyonları benzerliğindeki bir kusur, belirli bir boyutta UDP paketlerinin ayrılmadan iletişim kurmayı düşünmek için bile çok büyük olmasıdır. Böylece, parseller belirli bir boyuta ulaştığında, saldırgan DNS tepkilerini tamamen yoğunlaştırmada etkili olurken, daha mütevazı parsellere bölünecektir. Her durumda, saldırının net sonucu henüz değişmedi - yaralının çerçevesi, bu bölünmüş parsellerle ilgilenmesi ve yeniden birleştirmesi gerektiğinden, her durumda aşırı yük olacaktır. Benzer şekilde kritik olan diğer bir nokta da, saldırının saldırgan tarafından makul bir çift mal varlığı gerektirmesidir.
DNS yoğunlaştırma saldırılarını ayırt etmek orta derecede basit olsa da (kazalı birdenbire tek bir hiciv IP adresinden gelen trafikle dolup taşmaktadır), benzer bir açıklama için saldırganın kişiliğini tanımak neredeyse zordur - çünkü kaynak IP adresi bir karikatürdür. Bu saldırılar saldırganlar için basittir çünkü İnternette çok sayıda özgürce açık DNS çözümleyicisi vardır (bazıları rastgele bir zamanda milyonları ölçer) ve saldırganın gerçek karakteri gizli kalır. Bu satırlar boyunca, bu saldırılar kötü şöhreti dolduruyor ve trajik bir şekilde, herhangi bir site veya İnternet üzerinden sağlanan yardım olası bir hedef olabilir.
DNS Amplification saldırılarını nasıl ayırt edebilirim?
Zayıflık bir yanlış yapılandırmadan kaynaklanmadığından, DNS yansıma saldırılarında kullanılan kesin ad çalışanlarını tanımak zor olmasa da, açık özyinelemeli çözümleyicileri ayırt etmek için koşulsuz olarak erişilebilir birkaç seçenek vardır. Birkaç ilişkilendirme, bir kuruluşu zayıf açık DNS çözümleyicileri için tarayacak ücretsiz, DNS yükseltme saldırı kontrol aracı sunar. Bu cihazlar, tüm organizasyon aralıklarını inceleyecek ve herhangi bir seçkin açık çözümleyicinin konumunu özetleyecektir.
Open DNS Resolver Project
Açık DNS Çözümleyici Projesi, dünya çapında kullanılabilen açık çözümleyiciler olarak adlandırılan bir DNS çalışanlarını bir araya getirdi. Sorgulama arayüzü, ağ denetçilerinin CIDR tasarımında IP çalıştırmalarına girmesine izin verir.
Ölçüm Fabrikası
http://dns.measurement-factory.com
Açık DNS Çözümleyici Projesi gibi, Ölçüm Fabrikası da İnternet'te kullanılabilen DNS çalışanlarının bir özetini tutar ve yöneticilerin açık özyinelemeli çözümleyiciler aramasına izin verir. Ayrıca, Measurement Factory, açık özyinelemeye izin verip vermediğine karar vermek için tek bir DNS çözümleyicisini test etmek için ücretsiz bir aygıt sunar. Bu, bir yöneticinin kurulum değişikliklerinin gerekli olup olmadığına karar vermesine ve düzenleme değişikliklerinin verimli olduğunu onaylamasına izin verecektir. Sonunda, site, bulunan en yüksek sayıya göre düzenlenmiş, kendine özgü Otonom Sistem (AS) kuruluşlarında tanımlanan genel çözümleyicilerin sayısını gösteren bilgiler sunar.
DNSInspect
DNS çözümleyicilerini test etmek için koşulsuz olarak erişilebilen bir başka elektronik cihaz da DNSInspect'tir. Bu site, The Measurement Factory'nin bireysel bir çözümleyiciyi zayıflık açısından değerlendirme kapasitesi gibidir, ancak birkaç diğer olası kurulum ve güvenlik sorunu için tüm DNS Bölgesini test etme kapasitesi sunar.
işaretçiler
Düzenli bir özyinelemeli DNS sorgusunda, bir müşteri yakındaki bir DNS çalışanına bir adın hedefinden veya bir IP adresinin karşılıklı hedefinden bahseden bir soru talebi gönderir. DNS çalışanı, müşterinin yararına önemli sorguları yürütür ve belirtilen verilerle veya bir hatayla bir tepki paketi döndürür [6, sayfa 21]. Belirleme, spontan reaksiyonları dikkate almaz. Bir DNS yoğunlaştırma saldırısında, temel belirleyici, taleple koordine olmayan bir sorgulama tepkisidir.
Şirketler DNS Amplification Saldırılarına Karşı Nasıl Savunma Yapabilir?
DNS yoğunlaştırma saldırıları, yönetimin reddedilmesine yol açsa da, geleneksel DDoS saldırılarına benzer şekilde - örneğin, açık kaynak IP adreslerini engelleyerek - korunamazlar çünkü kaynak trafiği, önemli bir kaynaktan gelen gerçek olduğu izlenimini verir. , açık olarak kullanılabilen DNS çözümleyicileri. (Açık çözümleyicilerden gelen tüm trafiği engellemek, bazı gerçek taleplere engel olabilir.) Kuruluşlar, her durumda, bu tür saldırılara karşı korunmaya yardımcı olacak yollar bulabilir.
İlk olarak, dernekler, çalışanlardan IoT gadget'larına kadar tüm müşterilerin, yalnızca dernek içinden gelen DNS talepleriyle ilgilenmek üzere tasarlanmış DNS çalışanları içindeki mahalleyi kullanmasını garanti etmelidir. Sonunda, hiçbir DNS trafiği, bu iç işçilerden başlamayan dernek kuruluşunu hiçbir noktada terk etmemelidir.
DDoS gibi birçok saldırı düşünülebilir çünkü güvenlik duvarları, İnternet'e bağlı trafiğin karikatür kaynak IP adreslerini kullanmasına izin verir. Normalde, başka bir çerçeveye trafik gönderirken, bir iç (organize) gadget (PC, yazıcı, çalışan vb.) Bununla birlikte, güvenliği ihlal edilmiş gadget'lar nedeniyle, bir saldırgan karikatür kaynağı olarak genel bir IP adresi kullanarak trafik gönderebilir. Etkisiz bir şekilde tasarlanmış uç güvenlik duvarları, bu trafiğin denetlenmeden İnternet'e geçmesine izin verebilir. Dernekler, kendi kuruluşlarından başlayarak internete yönelen tüm trafiğin, iç organizasyonda yeri olan bir kaynak IP adresine sahip olduğunu garanti etmelidir.
Bir derneğin kuruluşlarına gelen herhangi bir DNS tepkisi, giden taleplerle ilgilenen DNS çalışanlarına bağlı olmalıdır ve asla başka uç noktalara bağlanmamalıdır. Bu şekilde, ilişkilendirme, bu DNS çalışanları için bağlı olmayan tüm DNS tepkilerini engelleyebilir. DNS bilincine sahip bir güvenlik duvarı kullanmak, derneğin komşu DNS çalışanlarından gönderilen taleplerden kuruluşa bir kez daha trafik dönmesine izin vererek de yardımcı olabilir. Sonuç olarak, alınan her reaksiyon için DNS talebi ile bir koordinasyon olmalıdır, her durumda, yoğun saat çıkmazı engellenecektir.
Dernekler aynı şekilde DNS trafiğinin hacmini çok sayıda alanda çalışanlar arasında yayan DNS Anycast'i kullanabilir, DNS trafiğini uygun şekilde yükleyerek hiçbir çalışanın herhangi bir noktada aşırı yük olmamasını sağlayabilir.
Yukarıda belirtilenlere rağmen, yaklaşan trafiğin ölçüsü kuruluş birliğini içine alıyorsa, dernekler yukarı yöndeki trafiği engellemek için ISP'leri ile yakın bir şekilde çalışmalıdır. ISP düzenlemeleri düzenli olarak en ucuzu olmakla birlikte, normalde en uyarlanamaz olanlardır. Bu nedenle, çok sayıda dernek dışarıdan bir DDoS güvenlik (temizleme) yönetimini kullanmaya karar verir ve bu da bir saldırının dernek kuruluşuna çarpmadan önce durdurulma olasılığını artırır.
DNS Yükseltme Saldırıları Koruması
Ne yazık ki, bu saldırılardan biri tarafından yaratılabilecek muazzam trafik hacmi nedeniyle, zayiatın, yönetim yemini saldırısına karşı iletilen büyük kapsamlı DNS yoğunlaştırmasına karşı koymak için yapabileceği düzenli olarak çok az şey vardır. Bununla birlikte, saldırganlar tarafından trafik hacmi yaratmak için kullanılabilecek işçi sayısını azaltmak mümkündür.
Bu tür bir saldırıda özyinelemeli çözümleyicilerin kullanımını ortadan kaldırmanın tek uygulanabilir yöntemi, kararsız özyinelemeli çözümleyicilerden vazgeçmek olsa da, bu, farklı toplantılar tarafından geniş bir çaba gerektirir. Açık DNS Çözümleyici Projesi tarafından belirtildiği gibi, İnternet'teki bilinen 27 milyon DNS çözümleyiciden yaklaşık "25 milyonu, bir saldırıda kullanılma konusunda kritik bir tehlikeyi temsil ediyor". Her halükarda, bu tür saldırıların genel geçerliliğini İnternet insan grubuna genel olarak azaltmak için birkaç potansiyel yönteme erişilebilir. Mümkün olan yerlerde, önerilen değişiklikleri yapma konusunda gözetmenlere yardımcı olmak için tasarım birleştirmeleri yapılmıştır. Düzenleme verileri, devlet kurumlarında genellikle gönderilen iki DNS çalışanı olan BIND9 ve Microsoft'un DNS Sunucusu ile sınırlandırılmıştır. Alternatif bir DNS çalışanı çalıştırıyorsanız,
Saldırgan tarafından kontrol edilen müşteriler tarafından gönderilen DNS sorularının, kazazedenin çerçevesi olarak görünmesi için parodisi yapılmış bir kaynak adresine sahip olması gerektiğinden, DNS yoğunlaştırmasının uygulanabilirliğini azaltmanın ilk adımı, İnternet Servis Sağlayıcılarının hiciv adresleriyle herhangi bir DNS trafiğini reddetmesidir. İnternet Mühendisliği Görev Gücünün Ağ Çalışma Grubu, Mayıs 2000'de En İyi Mevcut Uygulama 38 rekorunu ve Mart 2004'te En İyi Mevcut Uygulama 84 rekorunu teslim etti; bu rekor, bir İnternet Servis Sağlayıcının, kaynak adreslerine erişilemeyen paketleri göndermek için kuruluşlarındaki ağ trafiğini nasıl kanalize edebileceğini gösteriyor. orijinal paketin yolu. Bu raporda önerilen ilerlemeler, bir yönlendirme aygıtının paketi gönderen arabirimi kullanarak paketin kaynak adresine ulaşmanın mümkün olup olmadığını değerlendirmesini sağlayacaktır. Hayal edilemez olduğunu varsayarsak, parselin satirize bir kaynak adresi vardır. Bu kurulum değişikliği, en ünlü türlerin potansiyelini önemli ölçüde azaltacaktır. Ddos Saldırıları. Buna göre, tüm organize yöneticilere, mümkünse ağ giriş elemelerini gerçekleştirmelerini hevesle tavsiye ediyoruz.
Şu anda internette iletilen çok sayıda DNS çalışanının yalnızca tek bir alana isim hedefleri vermesi bekleniyor. Bu çerçevelerde, özel müşteri çerçeveleri için DNS hedefleri farklı bir çalışan tarafından verilebilir ve meşru çalışan, dış müşterilere bölge verilerinin DNS kaynağı olarak hareket eder. Bu çerçeveler, bir müşterinin yararına farklı alanların özyinelemeli hedefine yardımcı olmak zorunda değildir ve özyineleme engelli olarak düzenlenmelidir.
Bir dernek veya İnternet Servis Sağlayıcısı içinde taşınan DNS çalışanları için, çözümleyicinin, onaylanmış müşteriler için özyinelemeli soruları olduğu gibi gerçekleştirecek şekilde düzenlenmesi gerekir. Bu talepler normalde derneğin kuruluş adres aralığındaki müşterilerden gelmelidir. Tüm işçi başkanlarının özyinelemeyi yalnızca dernek organizasyonundaki müşterilerle sınırlamasını şiddetle tavsiye ediyoruz.
Şu anda BIND9 için bir grup yama olarak erişilebilen ve bir başkanın, adlandırılmış çalışandan bir müşteriden gönderilen her saniye en aşırı sayıda reaksiyonu kısıtlamasına izin veren bir keşif bileşeni var. Bu kullanışlılığın, özyinelemeli çözümleyicilerde yürütmeyi etkileyeceği gibi meşru alan adı çalışanları üzerinde kullanılması planlanmıştır. En iyi güvenliği sağlamak için, meşru ve özyinelemeli ad çalışanlarının çeşitli çerçevelerde çalışmasını, RRL'nin kesin çalışan üzerinde yürütülmesini ve erişim denetimi kayıtlarının özyinelemeli çalışan üzerinde yürütülmesini öneriyoruz. Bu, dahili özyinelemeli çözümleyicilerin gösterimini etkilemeden herhangi bir meşru çalışandan gelen trafiğin ölçüsünü azaltarak DNS yoğunlaştırma saldırılarının uygulanabilirliğini azaltacaktır.
0 Comments