Tyypit hyökkäykset DNS-palvelimiin: kuinka ne toimivat ja kuinka suojautua

DNS palvelut ovat välttämättömiä web-selailulle. Se on kuitenkin yksi haavoittuvimmista hyökkäyksistä. Tässä oppaassa kerrotaan vaarallisimmista DNS-hyökkäyksistä ja joistakin toimista, jotka mahdollistavat verkkoinfrastruktuurin suojaamisen.

DNS-palvelimien hyökkäykset

Yksi syy siihen, miksi DNS-palveluilla on tietty alttius hyökkäyksille, on UDP-kuljetuskerroksen protokolla. Muistakaamme, että se on kytkemätön siirto protokolla . Jälkimmäinen tarkoittaa, että se ei ole yhteyden suuntautunut, UDP-protokolla ei välitä siitä, että data saavuttaa kokonaan määränpäähänsä, se jatkaa myös kaiken, mikä on jonossa, lähettämistä. Oletetaan, että datapaketit ovat omia, ne saattavat saavuttaa määränpäähänsä menestyksekkäästi tai kärsivät joitain haittoja keskellä. Tarkastellaan seuraavaa järjestelmää ymmärtääksesi paremmin:

  • Kuvan ensimmäinen puoli näyttää meille kuinka toinen suosittu yhteyskäytäntö toimii: TCP . Se ei hyväksy vioittuneita tai eheys-datapaketteja. Kyllä tai kyllä ​​ne on lähetettävä uudelleen, jotta se saavuttaa määränpäähän 100%.
  • Toinen puoli viittaa UDP . Kuten mainitsimme, se ei ole yhteydenpito. Kohde vastaanottaa datapaketit riippumatta siitä, ovatko ne vaikeuksissa.

Ajattele suoratoistopalveluita. Ne pysäyttävät tietyin aikoina ja jatkavat siirtoa. Joko kuva tulee pikselöitynä tai kuulet kaiuttimen kuuluisan “robottiäänen”. Vaikka kaikki tämä voi tapahtua, siirto ei pysähdy yksin. Tietysti on poikkeuksia, kuten Internet-yhteyden puuttuminen tai henkilön akun tai virran loppuminen.

Suosittelemme lukemaan oppaamme TCP vs UDP, ominaisuudet ja käytöt kahdesta siirtokerrosprotokollasta.

Tehokkaimmat DNS-hyökkäykset

Botnet-pohjaiset DNS-hyökkäykset

Muista, että pienellä bottiverkolla on useita mahdollisuuksia hyökkäyksiin. Puhumattakaan jos sinulla on enemmän kuin yksi ja vuorostaan ​​jokaisella niistä on tuhansia zombie tietokoneissa. Periaatteessa näihin kytkettyjen ja tartunnan saaneiden tietokoneiden verkkoihin perustuva hyökkäys koostuu DDoS: n suorittamisesta.

Yksi bottiverkko olisi tarpeeksi suuri, jotta tavallisesta DNS-palvelimesta ei tule hyötyä. Yksinkertaisesti, jokainen zombi on ”ohjelmoitava” lähettämään useita käyttöpyyntöjä kyseisen DNS-palvelimen tunnistamaan verkkoresurssiin. Sitten mainittu palvelin on kyllästynyt niin moniin pyyntöihin, että se ei voi vastata niihin ja siksi se lakkaa toimimasta.

Tässä artikkelissa meillä on erittäin mielenkiintoinen luettelo uhkien karttoja ja verkkohyökkäyksiä . Mainitussa artikkelissa näet joitain niistä havainnollistavan bottiverkkojen käyttäytymistä hyökkäyksen aikana. Botnet-pohjaiset hyökkäykset voidaan estää tekemällä muutamia toimia, jotka pitkällä aikavälillä estävät yhden tai useamman mahdollisuuden:

  • Tarkista, onko verkottuneissa laitteissa haavoittuvuuksia.
  • Onko verkossa IoT-laitteita? Tarkista suojausasetukset mahdollisimman pian.
  • Onko DNS-hyökkäysuhkia? IDS / IPS-tietoturvaratkaisut ovat välttämättömiä niiden tunnistamiseksi ja toimimiseksi vastaavasti.

DNS-tulvahyökkäykset

Tämän hyökkäyksen tarkoituksena on saada DNS-palvelimen kapasiteetti rajaan. Siihen pisteeseen, että et voi enää vastaanottaa pyyntöjä. Katsotaan alla pieni kaavio:

Tietoverkkorikollisuus voi saastuttaa yhden tai useamman verkossa olevan tietokoneen luomalla zombiverkon. Kuten huomaat, tämä on yksi hyökkäyksistä, jotka voidaan suorittaa bottiverkon kautta. Kaikki tartunnan saaneet tietokoneet lähettävät useita DNS-pyyntöjä verkkotunnusten ja IP-osoitteiden täsmäyttämiseksi.

Se saavuttaa tapauksen, jossa pyyntöjä on niin paljon, ja lakkaa toimimasta. Näin ollen kukaan laillinen käyttäjä, joka tekee DNS-pyynnön ja menee palvelimen läpi, ei yksinkertaisesti voi saavuttaa odotettua tulosta: käyttää Web-resursseja. Tämä on yksi tilanteista, joissa käyttäjällä ei olisi pääsyä yhdelle tai useammalle Internet-sivulle.

Verkkopalvelimen järjestelmänvalvojana hyvä suojakilpi voisi olla Sisällön toimitus verkko or CDN ratkaisut. He eivät vain huolehdi verkkosivujen lataamisen nopeuttamisesta, vaan myös suojaavat niitä mahdollisilta uhilta. Jotkut niistä voivat olla DNS-pyyntöjä robotteilta, botnet-zombeilta tai muilta käyttäjiltä, ​​joilla on aikomus suorittaa esimerkiksi DNS-tulvahyökkäyksiä.

Myrkytysvälimuisti

Tämä hyökkäys on yksi tehokkaimmista tavoista käyttäjille uhriksi tietojenkalasteluhyökkäykset . No, käyttäjät tietäen, että he ovat tulossa lailliselle verkkosivustolle, ovat tosiasiallisesti käyttämässä sivustoa, jonka tehtävänä on kerätä kaikki tietosi. Varsinkin käyttöoikeustiedot ja pankkitiedot.

Oletetaan, että haluat siirtyä pankkisi verkkosivustolle ja huomaamatta liian paljon huomiota, näet, että olet pääsynyt tehokkaasti viralliselle sivulle. Näyttää siltä, ​​että kaikki näyttää samalta, eikä ole mitään hätää. Syötä kuitenkin käyttöoikeustietosi ja tietyllä hetkellä huomaat, että jotain on vialla.

Mutta mikä on välimuisti DNS: ssä ? Se on prosessi, jossa a DNS palvelin ratkaisee . Sen tehtävänä on tallentaa DNS-pyyntöjen vastaukset tietyn ajan. Tämä on vastaus kaikkiin DNS-pyyntöihin paljon nopeammin, ilman että läpi koko verkkotunnuksen päätösprosessin.

Valitettavasti verkkorikollisuus voi saada hallintaan DNS: n ratkaisemalla ja muuttamalla vastauksia kaikkiin tallennettuihin DNS-pyyntöihin. Esimerkiksi, jos sivusto www.example.com oli alun perin liitetty IP 192.0.0.16: een, tietoverkkorikollisuus voi muuttaa tätä vastausta yhdistämällä verkkotunnuksen haitallisen IP: n kanssa: 192.0.0.17. Katsokaamme alla ääriviivat, jotka kuvaavat mitä olemme maininneet:

Käyttäjä vahingossa pääsee haitalliselle sivustolle huolimatta siitä, että hän on syöttänyt laillisen verkkotunnuksen. Verkkopalvelun järjestelmänvalvojana sinun tulisi toteuttaa seuraava:

  • Rajoita toistuvia kyselyitä (pyyntöjä).
  • Tallenna vain verkkotunnuksiin liittyviä DNS-tietueita.
  • Rajoita DNS-pyyntöjen vastaukset tietoihin, jotka todella liittyvät verkkotunnukseen.

DrDoS (Reflexive Distributed Service Denial of Service Attack)

Tämä on toinen todiste siitä, että DDoS-hyökkäykset voivat saavuttaa laajan mittakaavan. Palvelimet, jotka toimivat heijastimina tässä DDoS-variantissa, voivat kuulua eri verkkoihin. Hyökkääjän etuna on, että hyökkäysjärjestelmän jäljittäminen on erittäin vaikeaa.

Näin ollen useita verkkoja voi osallistua DrDoS-hyökkäys . Jos minulla on kolme heijastinpalvelinta, jotka kuuluvat kolmeen eri verkkoon, tietoverkkorikollisuus voisi ottaa hallintaan nämä kolme verkkoa niin, että kaikki kytketyt laitteet osallistuvat hyökkäykseen.

Siirretään tämä DNS-kontekstiin. Jos useista verkoista on kytketty useita laitteita ja vuorostaan ​​kaikissa näissä verkoissa on heijastavia palvelimia, niiden läpi kulkeva suuri määrä DNS-pyyntöjä ei vaikuta viimeksi mainittuihin. Juuri tämä heijastimien ominaisuus saa heidät ohjaamaan suuren määrän pyyntöjä suoraan uhrin DNS-palvelimelle.

Vaikuttava palvelin vastaanottaa niin monia laittomia pyyntöjä kuin laillisiakin. Kun kapasiteetti on saavuttanut rajansa, se alkaa hylätä paketit, mukaan lukien ne, jotka vastaavat laillisia pyyntöjä. Siksi lopeta vastaaminen.

Mitä tehdä hyökkäyksen estämiseksi niin suuressa mittakaavassa? Kaikki tähän mennessä ehdotetut ehkäisevät toimenpiteet ovat voimassa. Jos hallinnoimasi verkkoinfrastruktuuri on kuitenkin suuri, kannattaa harkita seuraavaa:

  • Useiden palvelimien on sijaittava useammassa kuin yhdessä datakeskuksessa.
  • Tietokeskuksien on kuuluttava eri verkkosegmentteihin.
  • Varmista, että tietokeskuksissa on useita reittejä.
  • Turvallisuusreikiä on vähän tai ei ollenkaan.

DNS-hyökkäysten vaikutus

DNS-hyökkäykset aiheuttavat suurta vahinkoa organisaatioille, jotka ovat niiden uhreja. Tappioista johtuvat rahasummat saavuttavat helposti miljoonia dollareita. Huolestuttavinta, että DNS-hyökkäykset ovat yleensä entistä hienostuneempia ja tarkempia suhteessa Juicy Fruit .

Insider uhat ovat päivän järjestys. Organisaatioiden, vaikka ne näyttävät olevan vähemmän alttiita DNS-hyökkäyksille, on suojattava infrastruktuurinsa sisäpiiriläisiltä käyttämällä Threat Intelligence -työkaluja, joiden onneksi on laaja tarjonta. Toisaalta myös verkkopalvelujen hallintatyökaluilla on monia vaihtoehtoja.

DNS-hyökkäykset, vaikka niitä on toteutettu monien vuosien ajan, eivät lopeta kasvua vuosittain tapahtuvien tapahtumien määrän suhteen. Vaikka organisaatiosi ei todennäköisesti koskaan ole minkään edellä mainitun hyökkäyksen uhri, verkkoinfrastruktuurin suojaaminen ei ole vaihtoehto.