DNS Amplification атака е популярен вид DDoS атака, при която нападателят използва публично отворени DNS резолвери - сървъри, предназначени да получават заявки от клиентската машина през приложения, като уеб браузъри.
При DNS Amplification атаката, всеки бот прави заявки за отваряне на DNS сървър с IP адреса на жертвата, като след това получава отговор.
За да създаде голямо количество трафик, атакуващият структурира заявката по начин, който генерира възможно най-голям отговор от DNS сървъра. В резултат на това, мрежата на атакуваната цел (жертва) се задръства с фалшив трафик, което води до отказ на услуга (DDoS).
Как работи DNS Amplification атаката?
DNS Amplification атаката може да бъде разделена на четири стъпки:
- Атакуващият използва компрометирана крайна точка, за да изпрати UDP пакети с подправен IP адрес (IP адреса на жертвата) към DNS сървър.
- Всеки един от UDP пакетите, прави заявка към DNS сървър, често предава аргумент “Any”, за да получи възможно най-големия (обемен) отговор.
- След получаване на заявките, DNS сървърът изпраща голямо количество данни (отговор) към IP адреса на жертвата.
- IP адресът на жертвата получава отговора (с голям обем данни), което води до претоварване на мрежовата инфраструктура с голямо количество трафик и се получава DDoS атака.
Как DNS Amplification атаката може да бъде смекчена?
Ето 3 добри практики за смекчаване на DNS Amplification атака:
Намаляване на общия брой отворени DNS сървъри
Основен компонент на DNS Amplification атаката е достъпът до отворени DNS сървъри, особено, ако не са добре конфигурирани. Тогава атакуващият само трябва да ги открие. В идеалния случай, DNS сървърите трябва да предоставят своите услуги само на устройства, които произхождат от доверен домейн.
Проверяване на IP адреса на източника
Както пояснихме по-горе, за да бъде реализирана DNS Amplification атака, UDP заявките изпратени от ботнета, трябва да бъдат с IP адрес, подправен с този на жертвата.
Във връзка с това, за да бъде намалена ефективността от UDP-базираните атаки, интернет доставчикът следва да отхвърля интернет трафика, който съдържа подправен IP адрес.
Ако пакет се изпраща от вътрешна мрежа с IP адрес, който изглежда, че идва от външна мрежа, то е много вероятно - това да е подправен IP адрес и съответно той може да бъде отхвърлен.
Ограничаване на скоростта на отговор -Response Rate Limit (RRL)
Към момента е налична експериментална функция като набор от пачове за BIND9, която позволява на администратора да ограничи максималния брой отговори в секунда, изпращани до един клиент от DNS сървъра.
Тази функционалност е предназначена да се използва само на авторитетни сървъри за имена на домейни, тъй като ще повлияе на производителността на DNS сървърите.
За да осигурим най-ефективната защита, препоръчваме авторитетните и рекурсивните сървъри за имена да работят на различни системи, като RRL е внедрен на авторитетния сървър и списъците за контрол на достъпа (ACL), внедрени на рекурсивния сървър.
Това ще намали ефективността на атаките, чрез намаляване на количеството трафик, идващ от всеки отделен авторитетен сървър, без да засяга производителността на вътрешните DNS сървъри.
