Kết quả là, để thực hiện thành công tấn công DDos, kẻ tấn công phải khuếch đại ảnh hưởng của các nguồn tài nguyên nằm dưới sự kiểm soát của họ. Một cách có thể thực hiện đó là: Khuyếch đại DNS. Các yêu cầu DNS là một cơ chế lý tưởng mà những kẻ tấn công có thể làm tăng số lượng lưu lượng truyền tải vào nạn nhân của họ, trong khi ẩn nguồn gốc của cuộc tấn công. Nhiều máy chủ DNS trên Internet được cấu hình "phân giải mở" chấp nhận và trả lời các truy vấn DNS từ bất cứ nơi nào trên Internet. Gửi yêu cầu rất nhỏ đến những máy chủ này có thể dẫn đến câu trả lời lớn được chuyển đến hệ thống của nạn nhân .
Ví dụ, truy vấn ngắn để lấy thông tin DNS cho tên miền odsvn.blogspot.vn. Kết quả là một số lượng lớn các thông tin được trả lại :
odsvn.blogspot 11.334 IN NS ns2.ubm - us.net .
odsvn.blogspot.com . 11.334 IN NS ns1.ubm - us.net .
odsvn.blogspot.com . 11.334 IN NS ns3.ubm - us.net .
odsvn.blogspot.com . 11.334 IN SOA ns1.ubm - us.net . dnsadmin.ubm - us.net . 201310100 1800 900 1209600 1800
odsvn.blogspot.com . 11.334 IN A 192.155.48.18
odsvn.blogspot.com . 11.334 IN AAAA 2620:103 :: 192:155:48:18
odsvn.blogspot.com . 11334 IN MX 10 mailhost.ubm - us.net .
odsvn.blogspot.com . 11.334 IN TXT " v = spf1 mx include: spf.ubm - us.net - all"
odsvn.blogspot.com . 11.334 IN TXT " google -site-verification= doCdAIQ4FJ3yo - 047WoLHDdjRLjR_A9qHK - PIIlYLmU "
; , Query time: 0 ms
; ; SERVER: 10.30.40.15 # 53 (10.30.40.15)
; ; WHEN : Thu Oct 17 2013 03:31:00
; ; MSG SIZE rcvd : 346
Trong trường hợp này, gửi một gói yêu cầu DNS 45 byte được trả lại gói thông tin DNS 346 byte, làm tăng số lượng dữ liệu quay lại so với kích thước của các yêu cầu theo hệ số 7,7. Nếu yêu cầu gồm các thông tin khác trong bản ghi DNS, chẳng hạn như các khóa mật mã để phù hợp với tiêu chuẩn DKIM hoặc DNSSEC, chúng khuếch đại phản hồi từ máy chủ DNS. Một truy vấn cho bất kỳ thông tin DNS cho tên miền mic.gov.vn đã có 2.877 byte thông tin được trả lại, khuếch đại 71,9 so với yêu cầu.
Truy vấn DNS được gửi như các gói tin UDP, có nghĩa là nguồn gốc của các yêu cầu không được xác nhận cùng một cách như TCP, cho phép nguồn gốc được làm giả. Thành viên của một botnet có thể giả mạo các yêu cầu DNS xuất hiện tới địa chỉ IP của nạn nhân, DNS trả lời sẽ được gửi đến địa chỉ đó chứ không phải là địa chỉ của người khởi tạo yêu cầu. Do đó, một botnet nhỏ có thể gây ra một số lượng lớn các dữ liệu được gửi đến mạng của nạn nhân, một botnet lớn dồn dập có thể là nạn nhân của DDos.
Về bản chất, các cuộc tấn công tương tự như sử dụng nhiều Post-It để yêu cầu toàn bộ các thư mục sẽ được gửi đến một địa chỉ gửi thư, khiến nạn nhân không thể thực hiện các hoạt động thông thường của họ do khối lượng tuyệt đối của thư mục chuyển giao.
Bảo vệ DNS của bạn
Khuếch đại từ chối DNS dựa trên các cuộc tấn công DDos đặc biệt khó khăn để bảo vệ , bởi vì các cuộc tấn công như vậy bao gồm khối lượng lớn các dữ liệu hợp pháp được gửi từ các nguồn hợp pháp. Những cuộc tấn công có thể do số lượng lớn các máy chủ DNS cấu hình để phân giải mở, đáp ứng các yêu cầu DNS mà không quan tâm đến nguồn gốc của yêu cầu.
Open Resolver Project đã xác định được 28 triệu máy chủ DNS gây ra một mối đe dọa đáng kể đang được sử dụng trong cuộc tấn công này . Công ty phải đảm bảo rằng các máy chủ DNS của họ không nằm trong số những người có khả năng đóng góp vào việc tấn công DDos bằng cách thực hiện các bước sau:
- Hạn chế đệ quy: chỉ cho khách hàng có thẩm quyền, chẳng hạn như mạng lưới đáng tin cậy và máy chủ DNS được biết đến.
- Xác định và loại bỏ các gói tin với địa chỉ IP giả mạo bằng cách kiểm tra địa chỉ IP nguồn của họ..
- Hạn chế tỷ lệ đáp ứng của máy chủ DNS để họ không thể làm ngập mạng.
- Giới hạn kích thước của thông điệp DNS gửi đi để DNS trả lời nghi ngờ lớn bị chặn.
nmap- sU -p 53 - P0 --script "dns-recursion" x.x.x.x
Sử dụng bản dns-recursion trong cài đặt nmap mặc định để gửi các gói tin UDP đến port 53 và báo cáo nếu khả năng thực hiện các truy vấn đệ quy được phát hiện. Câu trả lời có chứa cụm từ: "Recursion appears to be enabled" - Đệ quy xuất hiện đã được kích hoạt - biểu thị rằng một máy chủ có thể có thể bị lạm dụng
Sẵn sàng , chuẩn bị, bảo vệ
Hãy xem xét các hậu quả của cuộc tấn công chống lại hệ thống của bạn ngay bây giờ, và chuẩn bị một chiến lược phòng thủ theo chiều sâu. Phân phối hệ thống công dễ nhận thấy bạn phải đối mặt, chẳng hạn như các trang web trên toàn thế giới thông qua một mạng lưới phân phối nội dung với băng thông đủ để chịu được cuộc tấn công. Làm việc với các nhà cung cấp của bạn để đảm bảo rằng các cuộc tấn công chống lại các mạng lưới của công ty được phát hiện và bị chặn càng xa nguồn càng tốt . Phát hiện lưu lượng truy cập dị thường cũng quan trọng càng sớm càng tốt - các cuộc tấn công có thể được đi trước bởi những truy cập loáng thoáng trong lưu lượng truy cập của kẻ tấn công kiểm tra xem hệ thống của họ đang hoạt động trước khi tung ra một cuộc tấn công đầy đủ. Phát hiện tự động của lưu lượng truy cập bất thường có thể cảnh báo các nhà khai thác phải có hành động và thực hiện một kế hoạch chuẩn bị khắc phục hậu quả.
Kẻ tấn công giỏi khai thác giao thức Internet được thiết kế lành tính. Để bảo vệ chống lại các cuộc tấn công, việc làm tốt nhất của bạn là làm cứng hệ thống của bạn. Và khi cuộc tấn công xảy ra, đảm bảo rằng bạn có thể kêu gọi nhiều nguồn lực và chuyên môn có sẵn cho những kẻ tấn công.
Không có nhận xét nào:
Đăng nhận xét