- PVSM.RU - https://www.pvsm.ru -
Неоспоримо, что «выставляя сервер» в интернет необходимо позаботиться о его безопасности и максимально ограничить доступ к нему. Протокол DNS может использоваться как для атак на инфраструктуру (DNS сервер, канал) жертвы, так и для атаки на другие компании. За последний год количество таких атак увеличилось как минимум в 2 раза. На сайте digitalattackmap.com [1], который визуализирует DDoS атаки, DNS выделен из общего списка наравне с атаками на Web(80/443).
Сервис DNS работает (в основном) по протоколу UDP, который не предполагает предварительной установки соединения, поэтому его без проблем можно использовать для атак на другие серверы (spoofing) без специальной подготовки. По информации из разных источников1,2 на текущий момент от 8 до 20 миллионов DNS серверов отвечают на рекурсивные запросы. Это могут быть как неправильно настроенные авторитативные и кэширующие DNS-серверы, так и простые CPE.
Меня заинтересовало, насколько опасно (для себя и окружающих) держать открытый рекурсивный DNS сервер, поэтому я решил провести небольшое исследование.
Были сформулированы следующие вопросы, на которые хотелось бы получить ответы:
Для тестирования используется сервер установленный в нюрнбергском дата-центре Hetzner. На данном сервере ранее был расположен авторитативный DNS-сервер, количество запросов к которому не превышало 200 в сутки. IP адрес сервера (в связи с переездом на новое АО) изменялся в июле. Для проверки доменов использовался механизм RPZ (response policy zone) и черный список от компании Infoblox [2].
Для осуществления атак через DNS-сервер используются следующие принципы:
На основании этих принципов этого можно выделить следующие виды атак с использованием DNS:
Перечисленный список возможных атак не является полным, но для данного исследования он достаточен.
За неделю всего поступило 416 тысяч запросов на 63 домена от 1169 клиентов, что свидетельствует об успешном проведении исследования и важности данной темы.
Ниже приведен график количества запросов к DNS-серверу в секунду.
Прежде всего, ответим на поставленные вопросы:
Количество запрашиваемых доменов было невелико, поэтому выделить потенциальных жертв и домены, используемые исключительно для атак, было просто.
— Министерство труда США, домен doleta.gov, используют DNSSEC, ответ сервера около 4 Кб, 127 тысяч запросов. Распределение количества запросов по клиентам достаточно ровное, TOP10 расположены в разных странах по всему миру (Южная и Северная Америка, Австралия и Новая Зеландия, Европа);
— Компания в Словакии, домен webpanel.sk, используют DNSSEC, ответ сервера около 4 Кб – 162 тысячи запросов (большая часть запросов пришла в день составления статьи, цифры постоянно увеличиваются). dnsamplificationattacks.blogspot.ru/ [4] подозревает, что данный домен используется исключительно для DNS-amplification атак. На самом деле ответы данного сервера не отличаются от любых других серверов, которые используют DNSSEC. Большое количество запросов приходит с серверов немецкого
— Агентство защиты окружающей среды США, домен energystar.gov, используют DNSSEC, ответ сервера около 4 Кб – 79 тысяч запросов. Всего домен запрашивало 69 клиентов большая часть которых расположена в USA. 18 тысяч запросов было получено с игрового сервера Royal Empire. Так как на сервере нет пользователей, и в новостях указано, что beta в режиме онлайн с 11.07.2014, можно предположить, что данный сервер был взломан. Были замечены IP-адреса из сетей Qwerty и Microsoft.
— FamiNetwork, домен famicraft.com, 7.5 тысяч запросов. Домен содержал бессмысленные TXT записи «wowowow» в результате чего ответ сервера достигал 4кб (50 кратное усиление атаки). В процессе написания статьи, я обнаружил, что ответ сервера famicraft.com изменился и он больше не представляет угрозы. Скорее всего владелец домена обнаружил взлом и внес необходимые исправления. Запросы приходили с 4х серверов, два из которых принадлежат Akamai Technologies (5 тысяч запросов);
— 14 серверов Akamai Technologies были замечены в подозрительной активности по всем вышеперечисленным доменам, возможно это атака на Akamai или их серверы были взломаны;
— В TOP10 по количеству входящих запросов (30% от всего количества запросов) попали: немецкий
В ходе анализа лог-файлов было выявлены:
Сервис dnsscan.shadowserver.org насчитывает 8 миллионов открытых рекурсивных DNS-серверов. Больше всего таких систем расположено в Китае, Россия расположилась на почетном 6 месте.
Country | Total |
China | 2,886,523 |
United States | 662,593 |
Korea, Republic of | 591,803 |
Taiwan | 449,752 |
Brazil | 339,416 |
Russian Federation | 264,101 |
Интересно графическое представление распределения DNS-серверов по странам, как открытых рекурсивных, так и авторитативных.
Исходя из полученных результатов можно сделать следующие очевидные ☺ выводы:
Сначала я предполагал завершить тестирование уже через неделю, но с учетом значительного роста нагрузки (с 2 до 20 QPS) в последний день тестирования, я решил продлить исследование ещё на неделю.
Список источников:
Автор: Homas
Источник [12]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/dns-2/68733
Ссылки в тексте:
[1] digitalattackmap.com: http://www.digitalattackmap.com/
[2] Infoblox: http://www.infoblox.com/sites/infobloxcom/files/resources/infoblox-datasheet-dns-firewall-malware-data-feed-service-overview.pdf
[3] www.google.it: http://www.google.it
[4] dnsamplificationattacks.blogspot.ru/: http://dnsamplificationattacks.blogspot.ru/
[5] хостинга: https://www.reg.ru/?rlink=reflink-717
[6] http://threatstop.com/checkip: http://threatstop.com/checkip/
[7] www.openresolverproject.org;: http://www.openresolverproject.org;
[8] dnsscan.shadowserver.org;: https://dnsscan.shadowserver.org;
[9] www.openresolverproject.org/: http://www.openresolverproject.org/
[10] dnsscan.shadowserver.org/: https://dnsscan.shadowserver.org/
[11] www.digitalattackmap.com: http://www.digitalattackmap.com
[12] Источник: http://habrahabr.ru/post/235197/
Нажмите здесь для печати.