Мощнейшая атака на корневые DNS сервера


Оглавление (нажмите, чтобы открыть):

ICANN опубликовала отчет об атаке на корневые DNS-серверы

Международная организация по контролю над распределением доменных имен (ICANN) опубликовала отчет о недавно произведенной DoS-атаке на корневые DNS-серверы интернета.

Атака, о которой идет речь, была осуществлена неизвестными злоумышленниками 6 февраля. В течение почти восьми часов киберпреступники забрасывали бессмысленными запросами шесть из тринадцати корневых DNS-серверов. Эксперты в области безопасности отмечают, что злоумышленники попытались скрыть свое местоположение, однако большая часть запросов исходила с территории Южной Кореи.

Согласно отчету, опубликованному ICANN, февральская DoS-атака в наибольшей степени затронула только два DNS-сервера, на которых не использовалась система распределения нагрузки Anycast. Данная система в настоящее время находится на стадии тестирования и поэтому внедрена не на всех корневых DNS-серверах. Февральская атака стала наглядной демонстрацией того, что технология Anycast обеспечивает достаточно эффективную защиту.

Примечательно, что система Anycast была разработана после того, как в 2002 году корневые DNS-серверы подверглись мощнейшей DoS-атаке. Тогда злоумышленникам удалось нарушить работу семи из тринадцати DNS-серверов. Серьезных перебоев в работе Сети не произошло лишь потому, что атака длилась только один час. Кроме того, стабильности работы интернета способствовало и то, что многие провайдеры кэшируют данные из других сегментов Сети для ускорения доступа к ним.

Security Week 50: DDoS корневых DNS-серверов, жизнь APT Sofacy, много криптографии

Серьезные перемены происходят ровно в тот момент, когда процент желающих что-то изменить превышает определенную критическую отметку. Нет, я сейчас не про политику, чур меня и свят-свят, а про IT в целом и IT-безопасность в частности. И хотят, в общем-то, все разного: компании — чтобы не дидосили и не ломали, пользователи — чтобы не крали пароли и не угоняли аккаунты, security-вендоры — нового отношения к безопасности у всех заинтересованных лиц, регуляторы — ну понятно, хотят регулировать.

Вот краткая выжимка предсказаний наших экспертов на будущий год: эволюция APT (меньше технологий, больше массовости и вообще снижение издержек), атаки на новые финансовые инструменты а-ля Apple Pay и фондовые биржи — поближе к местам высокой концентрации цифровых дензнаков, атаки на самих ИБ-исследователей через применяемые ими инструменты, взлом компаний ради чистого ущерба репутации (а.к.а. вывешивание грязного белья), дефицит доверия любым IT-инструментам (взломать могут все что угодно), включая доверенные сертификаты, ботнеты из маршрутизаторов и прочих IoT, масштабный кризис криптографии.

В предсказаниях этого года нет ни единого пункта «на вырост», ни одного маловероятного сценария развития. Ну разве что к таковым можно отнести атаки на управляемые компьютером автомобили, да и то речь идет о взломе инфраструктуры, от которой они зависят, — сотовых и спутниковых сетей. Все это в той или иной степени сбудется — проблема в том, что как-то не хочется. По возможности хотелось бы этого всего избежать. А если хочется не только нам, но и вообще всем (пусть и по-разному), то может ли 2020-й также стать годом прогресса в коллективной IT-безопасности? Я ни разу не эксперт, но хочется верить, что да. Переходим к новостям недели. Предыдущие выпуски доступны по тегу.

Мощная атака на корневые DNS-серверы

В 2007 году корневые DNS-серверы были атакованы ботнетом примерно из 5 тыс. компьютеров, что привело к многочасовой недоступности пары серверов и к серьезным перегрузкам на других (всего их 13). На прошлой неделе стало известно, что 30 ноября и 1 декабря произошли еще две подобные атаки. Впрочем, за восемь лет корневые серверы имен, которые можно без серьезных натяжек назвать фундаментом Интернета, стали гораздо устойчивее. Две многочасовые атаки не привели к серьезным проблемам в Сети (это, впрочем, верно и для атаки 2007 года), распределенная инфраструктура серверов выдержала трафик примерно в 5 млн запросов в секунду (стандартный трафик на корневые серверы составляет сотни тысяч запросов в секунду), но насыщение каналов, через которые подключены серверы, привело к незначительным задержкам.

Если перевести эту историю на реалии традиционного мира из кирпичей и цемента, то получится, например, следующая фантастическая зарисовка. Многочисленная банда преступников пыталась атаковать главный офис Центробанка с использованием большого количества автоматического оружия и даже гранатометов. Бронированные стены и окна защищенного здания выдержали, но из-за атаки офис банка открылся на следующий день на пять минут позже. Деньги не пропали (их там и не было, это же Центробанк, а не сберкасса и не монетный двор), преступникам удалось скрыться, в настоящее время ведется их розыск.


Если подумать, то с DNS-серверами произошло примерно то же самое: «выключить» не удалось ни один, и, даже если бы удалось, это не привело бы прямо к падению всего Интернета сразу. Интересны детали атаки. В 2007 году можно было примерно локализовать источник — с точностью до страны, а в этот раз IP-адреса атакующих компьютеров были «равномерно распределены» (по всему Интернету тонким слоем, надо полагать). Запросы к серверам были вполне легальные, причем все запрашивали IP-адрес для одного и того же домена. Повторная атака произошла по идентичному сценарию, только доменное имя было другое (какие именно домены — в отчете не раскрыли). Анализ атаки показал, что технология DNS-амплификации, когда вместо адреса отправителя подставляется адрес жертвы, не использовалась. В общем, на вопрос «что это было?» ответа пока нет. В комментариях пишут, что, возможно, кто-то тестировал возможности своего ботнета, и, скорее всего, это так, но на вопрос «зачем?» это не отвечает.

Борцы с ботнетами нанесли удар по инфраструктуре одного из самых распространенных зловредов – Windows-червя Dorkbot: https://t.co/00bpRr1aaS

Эксперты «Лаборатории» раскрывают новые детали русскоязычной APT Sofacy (она же APT28)

Чуть выше я уже процитировал предсказания наших экспертов про эволюцию APT: ожидается, что в будущем году в этих advanced persistent threats станет чуть меньше advanced и persistent. Вместо технологий усилия будут вкладывать в рекогносцировку, а тактика длительного присутствия в сети жертв поменяется на оперативное вмешательство с быстрой кражей данных и заметанием следов. Собственно, когда ИБ-исследователи раскрывают какую-то технически подкованную операцию, происходит примерно то же самое: организаторы атаки быстро скрываются, путая следы. Но Sofacy — исключение. Исследования этой атаки публиковались многими компаниями, но это практически никогда не приводило к изменению тактики и прочим маневрам. Как работали начиная с 2007 года, так и продолжают.

Исследование таких операций, как Sofacy или The Equation, действительно выделяющихся на общем фоне киберпреступности, помогает понять и предсказать развитие угроз в целом, так как любая продвинутая технология рано или поздно становится массовой. Судя по всему, на Sofacy работает мощный исследовательский отдел: из шести эксплойтов к 0-day-уязвимостям в популярном ПО (MS Office и Java, например) пять, судя по всему, были найдены самостоятельно, еще один — позаимствован из «слива» данных Hacking Team.

Отличительная особенность исследования угроз — скриншоты из Far Manager! В данном случае показан кусок кода с «вшитыми» доменными именами C&C-серверов.

Не важно, занимаются ли организаторы атаки поиском уязвимостей самостоятельно или покупают их на «черном рынке», 0-day обходятся недешево. Выводить их «на линию фронта» в полном составе значит рисковать тем, что деятельность заметят, уязвимости закроют и в целом сделают задачу взлома более сложной. В терминах казино такой подход аналогичен ставке всех фишек на зеро, а на такое могут пойти либо от отчаяния, либо когда деньги не последние и, в общем-то, все равно, пропадут они или нет. Судя по долговечности Sofacy, мы имеем дело со вторым вариантом.

С Equation данную операцию роднит еще один момент: и там, и там используется технология «слива» данных через флешку. Такая методика эксфильтрации данных полезна, если с компьютера или из сети жертв нельзя подключиться к командному серверу, а данные украсть очень хочется. В деталях модуль USBStealer был ранее исследован специалистами компании ESET, но тут важен даже не метод эксфильтрации, а предполагаемый статус жертв. Air-gapped-сети, полностью изолированные от Интернета, в «обычных компаниях» используются крайне редко.

Б/у сертификаты, кража данных из детских игрушек и другие интересные события недели: https://t.co/2rdnT5Ffg3 pic.twitter.com/G33R6J3jYL

Дайджест в дайджесте. Новости криптографии: в ФБР опять хотят бэкдоры в шифровании. Отказаться от теоретически уязвимого алгоритма SHA-1 не так просто.

Вопросы шифрования данных — как ящик Пандоры: стоит однажды открыть, и закрыть обратно уже не получится. Когда-то эта тема была еще более узкоспециализированной, чем IT-безопасность, с еще более высоким порогом входа, если вы хотите действительно что-то в ней понимать. Порог входа, впрочем, так и остался высоким, а вот в обсуждениях шифрования становится все больше политики. Или бизнеса. Эта неделя принесла пару примеров.

Мастер Йода рекомендует:  Лекция 4. Серверные элементы управления Продолжение.

Начнем с ФБР. На этой неделе состоялись достаточно рутинные слушания в одном из комитетов американского конгресса, где в том числе выступал директор ФБР Джеймс Коми (для любителей — видео выступления). Он еще раз подтвердил то, что ранее мы, собственно, и так уже знали, например, из утечек Сноудена: шифрование представляет собой серьезную проблему для силовых органов при проведении расследований противоправной деятельности. Под «деятельностью» разные люди и организации понимают совершенно разные вещи, но с точки зрения чистой технологии это даже хорошие новости: значит, распространенные современные методы защиты данных (от кого угодно) в целом работают. Теперь плохие новости: ФБР хочет, чтобы технологии шифрования работали хуже, конкретно — чтобы у «кого надо» был доступ через балконную дверь.


Речь не обязательно идет о бэкдорах. Коми отдельно упомянул, что это не единственное «решение», и в целом он за то, чтобы по решению суда доступ к зашифрованным данным, например, на смартфоне мог быть предоставлен. Как именно — пускай, дескать, индустрия разберется сама. Традиционный оппонент ФБР, фонд EFF, в ответном заявлении напоминает, что любая компрометация систем шифрования делает их бессмысленными. То есть либо доступ через «лазейку» сможет получить не только ФБР и не только через суд, либо компаниям (например, после введения какого-то нового закона) станет невыгодно предоставлять функцию шифрования данных, что поставит под удар всех пользователей.

Тоска с сертификатами у Dell, бэкдор в модемах и другие интересности недели: https://t.co/UZzW65uaIb pic.twitter.com/RjGpVKDWmY

О падении стоимости поиска коллизий в SHA-1 я подробно писал в октябре. Тогда я закончил описание проблемы на позитивной ноте: вроде бы до практической реализации уязвимого алгоритма криптографического хеширования пока не дошло, при этом отказываться от поддержки в софте (например, в браузерах) начинают уже сейчас, а если не сейчас, то скоро. Так вот, что-то пошло не так. Специалисты из Facebook и CloudFlare утверждают, что если крупные веб-сайты также запретят на своей стороне применение SHA-1 в процессе установления сессии, то это лишит доступа многих пользователей. По данным Facebook — до 7% их трафика. Причина даже не в использовании этими пользователями устаревших браузеров, а в использовании устаревших операционных систем, не поддерживающих более защищенный алгоритм SHA256. Конкретно речь идет о Windows XP без SP3 и Android до Gingerbread. То есть о совсем древних устройствах, доля которых по идее должна быть микроскопической, но нет. По данным CloudFlare — компании, которая по идее хорошо разбирается в трафике разных сортов, — пострадать могут до 37 млн пользователей. А потому предлагается внедрить обходную технологию, которая обеспечит надежный протокол тем, кто его поддерживает, и плохонький — тем, для кого лучше так, чем никак.

Что еще произошло:

Еще один массивный патч от Adobe для Flash: закрыто 79 уязвимостей.

71 патч от Microsoft, в том числе закрыта серьезная уязвимость в Office, эксплуатируемая in-the-wild.

Древности:

Нерезидентные очень опасные вирусы, инфицируют COM- и EXE-файлы (либо только EXE — «Amz-600») при старте зараженного файла. Изменяют первые 13h байт COM-файлов на программу перехода на тело вируса. Содержат короткое слово «AMZ». В зависимости от версии стирают сектора FAT либо всех логических дисков от A: до Z: (если таковые присутствуют), либо текущего диска при условиях:

«Amz-600» — если номер дня недели совпадает с номером дня месяца;
«Amz-789» — 24 сентября с 0.00 до 7.00 утра;
«Amz-801» — 13 февраля в 13 часов.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 23.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.


Зафиксирована мощная атака на корневые DNS-серверы

Группа, которая координирует работу корневых DNS-серверов , сообщила о нестандартном инциденте, а именно – о новом виде атаки, который был направлен на вывод из строя системы DNS.

В одно и тоже время на все корневые DNS-серверы начала поступать интенсивная волна запросов, отправленная с различных IP-адресов. Интенсивность была равна примерно 5 млн обращений в секунду для каждого из серверов. Примечательно, что подобный уровень трафика удалось достигнуть благодаря отправке запросов из сетей в непосредственной близости от каждого корневого DNS-сервера.

По итогу на некоторых серверах наблюдались проблемы с обработкой корректных запросов, но тем не менее запаса прочности всей сети корневых DNS-серверов оказалось достаточно для общего противостояния атаке и несколько серверов оставались доступны на протяжении всего времени атаки. У конечных пользователей во время инцидента могло наблюдаться увеличение задержки при определении имен в DNS.

Установлено, что в ходе атаки не использовалась традиционная техника усиления трафика через привлечение незащищенных DNS-серверов. Источник атаки определить не удалось, так как применялся спуфинг исходных IP-адресов и большое число anycast-хостов. Для снижения опасности подобных атак администраторам рекомендуется использовать фильтрацию исходящих IP-адресов.

Корневые DNS-серверы под DDoS: демонстрация силы?

DDoS-атаки являются внушительной (и в некотором роде регулярной) проблемой для бизнеса, но иногда представляют угрозу и для целостности Всемирной сети. 30 ноября и 1 декабря некто устроил массивную и необычную DDoS-атаку, нацеленную на корневые серверы интернета, ответственные за разрешение IP-адресов. Судя по всему, это был акт вандализма, даже граничащий с терроризмом, но, по счастью, воздействие атаки на корневые серверы было минимальным благодаря архитектуре DNS.

В своём сообщении Администрация адресного пространства интернета (IANA) отметила, что эффект был «ограничен потенциально незначительными задержками для некоторых разрешений имён, когда рекурсивному серверу имён приходилось запрашивать корневой DNS-сервер, то есть кэш-промахом».

Злоумышленники использовали довольно необычный способ нападения. Усиленные запросы были отправлены к большинству букв корневых DNS-серверов, а исходные адреса были «рандомизированы и распределены», утверждают в IANA. Однако, согласно тому же их сообщению, исходные адреса были «широко и равномерно распределены», а имя запроса — нет.

#DDoS-атака на корневые DNS-серверы: демонстрация силы?

Как пишет Threatpost, многие более традиционные атаки с DNS-усилением используют преимущество публичной доступности и открытости DNS-серверов, подменяя исходные адреса адресом цели, чтобы завалить этот адрес откликами.

В данном конкретном случае коренные DNS-серверы, которые используют IP Anycast (сетевую маршрутизацию от одного многим) получили трафик значительных объёмов: наблюдавшийся поток составил примерно 5 миллионов запросов в секунду на каждую принимавшую букву корневого DNS-сервера.


Это весьма много, надо сказать. Но, по счастью, не достаточно, чтобы вырубить всю систему DNS.

Организация рекомендует задействовать проверку адреса источника и BCP-38 (фильтрацию входящих пакетов), чтобы уменьшить способность злоумышленников использовать поддельные пакеты в своих интересах.

Полное сообщение IANA читайте здесь.

Можно долго рассуждать о том, кто запустил эту атаку и зачем. IANA говорит, что нереально определить реальный источник атаки по той причине, что IP источника легко подделать, а также потому, что событийный трафик разошёлся по большому количеству неопределённых сайтов.

Ещё одной мощной DDoS-атаке недавно подверглась академическая компьютерная сеть Janet, что было охарактеризовано оператором сети Jisc как «непрерывная и направленная цепь нападений».

По сообщениям, атака лишила университетских студентов по всей Великобритании возможности сдавать свои работы, что само по себе может служить намёком на причины организации такого нападения (если не на его происхождение вообще).

Но в первой атаке, очевидно, смысла было куда меньше. Мы можем только предполагать, что некто тестировал новый тип атаки или просто рисовался. Во всяком случае, нападение такого масштаба, может, и не опаснее комариного укуса для корневых серверов WWW, но для сети одной компании это равносильно столкновению с товарным поездом.

По счастью, воздействие на корневые серверы было минимальным. Но представьте себе такую ​​атаку на сеть компании! #DDoS

Если не предусмотрены защитные меры, такие как решение Kaspersky DDoS Prevention, которое использует комбинацию технологий на сайте и вне его для защиты вашего бизнеса.

Более подробное описание решения можно найти по этой ссылке.

Хакеры атакуют: как уберечь DNS-сервер

Атаки на DNS—сервера — далеко не новая стратегия злоумышленников. Например, в прошлом по причине подобной атаки пользователи в течение часа не могли зайти на страницы сервиса Twitter. Для обеспечения безопасности DNS сегодня разработана система Domain Name System Security Extensions, с внедрением которой также связан ряд проблем. Но вот в чем главный вопрос: даст ли DNSSEC стопроцентную гарантию безопасности?


Ежедневно мы выходим в интернет, чтобы искать информацию, общаться, вести бизнес и так далее. Но мало кто задумывается о том, как осуществляется выход в сеть, и как мы попадаем на нужные страницы. Да и зачастую такие подробности знать не обязательно. Картина резко меняется, когда речь заходит об обеспечении безопасности. Для защиты от злоумышленников созданы различные средства ИБ, однако постоянно возникают новые уязвимости, а хакеры изобретают все новые способы атак. При организации безопасной веб-инфраструктуры обычно вспоминают о файловых, почтовых серверах и пр. Однако не менее важно защищать и системы доменных имен (Domain Name System, или DNS).

Мастер Йода рекомендует:  Скрытые возможности в Java

DNS является распределенной системой, то есть представляет собой совокупность компьютеров, и предназначена для получения информации о доменах. Чаще всего пользуется для получения IP-адреса по имени хоста. Например, при вводе пользователем в адресную строку браузера адреса система DNS автоматически определит связанный с введенным именем IP и выдаст пользователю страницу по запрашиваемому адресу. Сейчас существует множество DNS-решений: BIND, Microsoft DNS Server, Open DNS и другие. Все они требуют защиты. Ведь, если хакер атакует DNS-сервер, то пользователи будут попадаться в ловушку, даже не подозревая об этом.

Чем опасны DNS-атаки

Во–первых, в результате DNS-атак пользователь рискует не попасть на нужную страницу. При вводе адреса сайта атакованный DNS будет перенаправлять запрос на подставные страницы.

Во–вторых, в результате перехода пользователя на ложный IP–адрес хакер может получить доступ к его личной информации. При этом пользователь даже не будет подозревать, что его информация рассекречена.

Атаки на DNS – далеко не новая стратегия хакеров, однако только недавно борьба с этим видом угроз стала принимать глобальный характер. «В прошлом уже происходили атаки на DNS–сервера, приводящие к массовым сбоям. Так, например, в декабре прошлого года из-за подмены DNS–записи в течение часа для пользователей был недоступен известный всем сервис Twitter. Акция носила политический характер, и вместо интерфейса социальной сети на главной странице ресурса отображались предостережения иранских хакеров по поводу американской агрессии. Но подобные атаки относятся к локальным инцидентам и не так серьезны. Куда опаснее атаки на корневые DNS–сервера. В частности, широкую огласку получили атаки в октябре 2002 года, когда неизвестные пытались «задедосить» 10 из 13 DNS–серверов верхнего уровня, и в 2009 году, когда пытались нарушить работу как минимум двух корневых серверов», — рассказал Алексей Шевченко, руководитель направления инфраструктурных решений российского представительства ESET.

Виды атак

Основной причиной такой подверженности DNS-систем угрозам является то, что они работают по протоколу UDP, более уязвимому, чем TCP.

Существует несколько способов атаки на DNS. Первый тип – это создание обманного DNS-сервера вследствие перехвата запроса. Механизм данной атаки очень прост. Хакер – атакующий, ждет DNS-запроса от компьютера жертвы. После того как атакующий получил запрос, он извлекает из перехваченного пакета IP–адрес запрошенного хоста. Затем генерируется пакет, в котором злоумышленник представляется целевым DNS–сервером. Сама генерация ответного пакета так же проста: хакер в ложном ответе жертве в поле IP DNS– сервера прописывает свой IP. Теперь компьютер жертвы принимает атакующего за реальный DNS. Когда клиент отправляет очередной пакет, атакующий меняет в нем IP-адрес отправителя и пересылает далее на DNS. В результате настоящий DNS-сервер считает, что запросы отправляет хакер, а не жертва. Таким образом, атакующий становится посредником между клиентом и реальным DNS–сервером. Далее хакер может исправлять запросы жертвы по своему усмотрению и отправлять их на реальный DNS. Но перехватить запрос можно, только если атакующая машина находится на пути основного трафика или в сегменте DNS–сервера.

Второй способ атаки применяется удаленно, если нет доступа к трафику клиента. Для генерации ложного ответа необходимо выполнение нескольких пунктов. Во-первых, совпадение IP-адреса отправителя ответа с адресом DNS-сервера. Затем, совпадение имен, содержащихся в DNS–ответе и запросе. Кроме того, DNS–ответ должен посылаться на тот же порт, с которого был отправлен запрос. Ну и, наконец, в пакете DNS–ответа поле ID должно совпадать с ID в запросе.

Первые два условия реализуются просто. А вот третий и четвертый пункт — сложнее. Обе задачи решаются подыскиванием нужный порта и ID методом перебора. Таким образом, у хакера есть все необходимое, чтобы атаковать жертву. Механизм этой атаки заключается в следующем. Жертва посылает на DNS–сервер запрос и переходит в режим ожидания ответа с сервера. Хакер, перехватив запрос, начинает посылать ложные ответные пакеты. В результате на компьютер клиента приходит шквал ложных ответов, из которых отсеиваются все, кроме одного, в котором совпали ID и порт. Получив нужный ответ, клиент начинает воспринимать подставной DNS–сервер как настоящий. Хакер же, в свою очередь, в ложном DNS ответе может поставить IP-адрес любого ресурса.


Третий метод направлен на атаку непосредственно DNS–сервера. В результате такой атаки по ложным IP-адресам будет ходить не отдельный клиент-жертва, а все пользователи, обратившиеся к атакованному DNS. Как и в предыдущем случае, атака может проводиться из любой точки сети. При отправке клиентом запроса на DNS–сервер, последний начинает искать в своем кэше подобный запрос. Если до жертвы такой запрос никто не посылал, и он не был занесен в кэш, сервер начинает посылать запросы на другие DNS-сервера сети в поисках IP–адреса, соответствующего запрошенному хосту.

Для атаки хакер посылает запрос, который заставляет сервер обращаться к другим узлам сети и ждать от них ответа. Отправив запрос, злоумышленник начинает атаковать DNS потоком ложных ответных пакетов. Напоминает ситуацию из предыдущего метода, но хакеру не надо подбирать порт, так как все сервера DNS «общаются» по выделенному 53 порту. Остается только подобрать ID. Когда сервер получит ложный ответный пакет с подходящим ID, он начнет воспринимать хакера как DNS и даст клиенту IP–адрес, посланный атакующим компьютером. Далее запрос будет занесен в кэш, и при последующих подобных запросах пользователи будут переходить на подставной IP.

Как защититься от атак

Для обеспечения безопасности DNS планируется развертывание Domain Name System Security Extensions (DNSSEC). В основе протокола DNSSEC лежит метод цифровой подписи ответов на запросы. У администратора доменной зоны, поддерживающей данную технологию, есть закрытый ключ, который с помощью криптографических алгоритмов позволяет сгенерировать цифровую подпись. Клиенты же, в свою очередь, получают открытый ключ, соответствующий закрытому. Клиентский ключ дает возможность проверять валидность цифровой подписи. Возникает резонный вопрос: как получается так, что открытый ключ позволяет проверить подлинность подписи, но не дает возможности сгенерировать ее? Конечно, строгого теоретического запрета нет, но такая задача будет трудна для сколь угодно сложных ключей. Иначе говоря, раскрыть ключ можно, но при современном развитии технологий для этого потребуется недоступное на практике количество вычислительных ресурсов. Таким образом, видно, что теоретически защиту DNS взломать можно, впрочем, как и любую другую, но практически это пока не достижимо. Следует однако отметить, что DNSSEC усложняет работу взломщикам, но не дает 100% защиты, поскольку технологии злоумышленников тоже не стоят на месте. Тем не менее, по мнению экспертов, система защиты может помочь против таких вирусов, как, например, Kido, который в 2008 – 2009 годах устроил самую настоящую эпидемию.

На данный момент система DNSSEC уже используется в Швейцарии и Болгарии. В планах распространить ее действие и на остальные зоны, в том числе и на .ru, .su и недавно появившуюся .рф. Ориентировочно это произойдет в конце 2011 года. В январе 2010 года началось развертывание нового протокола в 13 корневых серверах, и на сегодняшний день этот процесс завершен. Пока что процедура подписания корневых зон носит тестовый характер.

К тому же, процесс внедрения DNSSEC требует немалых финансовых вложений. Поддержка этого протокола требует замены программного и аппаратного обеспечения как на серверной, так и на клиентской сторонах. По данным РБК daily, цифра, в которую обойдется переход на DNSSEC в России, может составить 100 млн долл.

DNSSEC и нагрузка на сеть

Не стоит также забывать, что внедрение нового протокола увеличит объем передаваемых данных, причем почти в 2 раза. Так, например, при запросе списка серверов, обслуживающих зону .ru , в ответ придет не 257 байт, а 440. Разница ощутима. А если размеры пакета будут превышать 512 байт, то могут возникнуть проблемы с его приемом. Конечно, у этой проблемы есть решение. Если клиентский компьютер не в состоянии принимать пакеты больше 512 байт, сервер максимально сжимает их. Однако сжатие не безгранично, и если после него размер пакета все еще большой, то клиент автоматически переключится из транспортного протокола UDP в TCP, в котором нет подобных ограничений.

Могут возникнуть и другие ситуации, которые приведут к повторным отправкам пакетов между клиентом и сервером, что увеличит нагрузку на инфраструктуру. К тому же, дополнительную нагрузку на оборудование будет оказывать процесс генерации и проверки цифровых подписей.

«Создание цифровой подписи требует дополнительных вычислительных ресурсов DNS-сервера, подписывающего сообщение, и клиента, проверяющего подпись. Поскольку ЭЦП увеличивает объем информации, использование UDP-протокола становится рискованным с точки зрения надежности передачи данных, поскольку в некоторых сегментах сети фрагментирование больших пакетов может не поддерживаться, и DNSSEC на основе данного протокола просто не будет работать. Поэтому DNSSEC ориентирован на использование TCP, что может увеличить нагрузку на некоторые узлы, играющие роль шлюзов», – замечает Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Таким образом, можно сделать заключение, что, хотя глобальная защита от атак на DNS-сервера разработана, но, к сожалению, она не идеальна. Впрочем, процесс совершенствования DNSSEC в частности и криптографической защиты в целом еще далеко не завершен.

Мощнейшая атака на корневые DNS сервера


Полный спектр компьютерных услуг!

‘ w /> Внимание!

  • Вся информация, расположенная в данном и других разделах форума получена из открытых источников (интернет-ресурсы, средства массовой информации, печатные издания и т.п.) и/или добавлена самими пользователями. Администрация форума предоставляет его участникам площадку для общения / размещения файлов / статей и т.п. и не несет ответственности за содержание сообщений, а также за возможное нарушение авторских, смежных и каких-либо иных прав, которое может повлечь за собой информация, содержащаяся в сообщениях.
Мастер Йода рекомендует:  Создаем стильное письмо-подтверждение подписки

Группа: Главные администраторы
Сообщений: 14349
Регистрация: 12.10.2007
Из: Twilight Zone
Пользователь №: 1

Группа, координирующая работу корневых серверов DNS, сообщила об инциденте, в результате которого был зафиксирован новый вид атаки, направленной на вывод из строя системы DNS. В одно и тоже время на все корневые DNS-серверы обрушилась интенсивная волна запросов, поступавших с различных IP-адресов с интенсивностью примерно 5 млн обращений в секунду для каждого из серверов. Примечательно, что подобный уровень трафика удалось достигнуть благодаря отправке запросов из сетей в непосредственной близости от каждого корневого DNS-сервера. В результате атаки на некоторых серверах наблюдались проблемы с обработкой корректных запросов, но запаса прочности всей сети корневых DNS-серверов оказалось достаточно для общего противостояния атаке и несколько серверов оставались доступны на протяжении всего времени атаки. У конечных пользователей во время инцидента могло наблюдаться увеличение задержки при определении имён в DNS. При атаке не использовалась традиционная техника усиления трафика через привлечение незащищённых DNS-серверов. Источник атаки определить не удалось, так как применялся спуфинг исходных IP-адресов и большое число anycast-хостов. Для снижения опасности подобных атак администраторам рекомендуется использовать фильтрацию исходящих IP-адресов.
Источник

Корневые DNS-серверы пережили необычную DDoS-атаку

Зафиксирована нестандартная DDoS-атака с усилением против 13 корневых DNS — ключевых серверов, обеспечивающих работоспособность и связность Интернета, сообщает «Лаборатория Касперского».

DDoS-атака была проведена 30 ноября и возобновилась 1 декабря; оба раза это был мощный мусорный поток, на пике составивший 5 млн запросов в секунду. В информационном бюллетене представители агентства IANA (ведомства по распределению номеров Интернета) отметили, что воздействие на Интернет как таковой было минимальным, хотя в ряде случаев пропускная способность каналов, близких к корневому серверу DNS, была превышена.

«Насколько известно, сбоев, очевидных для конечного пользователя, зафиксировано не было ни в ходе, ни вследствие инцидента, — констатирует IANA. — Поскольку протокол DNS предусматривает возможное ограничение доступа в группах серверов доменных имен, воздействие было, по нашим данным, лишь в виде потенциальных небольших задержек при преобразовании некоторых имен, когда рекурсивный сервер обращался к корневому DNS-серверу (например, при промахе кэша). Это могло проявиться как еле заметная начальная задержка в некоторых браузерах или других клиентских программах (FTP, SSH)».


Усиленный поток запросов был зафиксирован на большинстве корневых DNS-серверов, при этом источники были «рандомизированы и распределены». «Событие примечательно тем, что адреса источников были широко и равномерно распределены, чего не скажешь о запрашиваемых именах, — гласит бюллетень. — В этом основное отличие данного инцидента от типовой DNS-атаки с усилением, когда серверы DNS (в том числе корневые) используются как отражатели с целью выведения из строя стороннего ресурса».

Многие более традиционные DNS-атаки с усилением делают ставку на общедоступные, открытые DNS-серверы; при этом злоумышленник подставляет адрес мишени в качестве адреса источника запросов, чтобы поток ответов сокрушил намеченную мишень. В данном случае мощный мусорный поток изливался на корневые DNS-серверы, использующие Anycast — рассылку пакетов на IP получателя, ближний в группе.

«Система корневых зон DNS функционировала в пределах нормы, в целом показав устойчивость в условиях большой нагрузки, наблюдаемой на многих корневых DNS-серверах, — заключает IANA. — Поскольку IP-адрес источника легко подменить и мусорный поток наблюдался на многих anycast-сайтах, проследить этот трафик до первоисточника не представляется возможным».

Во избежание неприятностей IANA рекомендует применять валидацию IP источников запросов и входной фильтр, подобный тому, что описан в документе BCP-38 Сетевой рабочей группы IETF. Это затруднит подмену заголовков пакетов, практикуемую дидосерами.

Мощнейшая атака на корневые DNS сервера

Как сообщает «Лаборатория Касперского», компания VeriSign выявила новый метод проведения DDoS-атак. По словам специалистов VeriSign, этот метод существенно повышает опасность одного из наиболее распространенных видов киберпреступлений.

В ходе традиционной DDoS-атаки на атакуемый сервер поступает несколько тысяч запросов, которые он не успевает обработать. Новый метод основан на отправке запросов к серверу доменных имен (DNS-серверу). Атакуемый сервер в этих запросах указывается как объект, на который будут направляться детали DNS-запроса. Таким образом, атаку становится почти невозможно блокировать, поскольку в ней не задействованы боты. В ряде случаев плотность потока информации, используемой при атаках, превышала 8 ГБ/с, а рассылка информации осуществлялась с DNS-серверов. Впервые такого рода атаки были выявлены Центром экстренного компьютерного реагирования (US-CERT) и министерством национальной безопасности США в декабре 2005 г.

«Эти атаки оказались значительно масштабнее, чем любые, которые мы когда-либо видели прежде», — сообщил технический директор VeriSign Кен Сильва. Первая подобная атака была зафиксирована в декабре прошлого года. Их пик пришелся на январь, а затем новые DDoS-атаки пошли на убыль. Всего VeriSign зарегистрировала 1500 подобных атак.

На днях немецкий регистратор доменных имен Joker.com сообщил, что его DNS-серверы подверглись атаке. Результатом этой атаки стали отключения сайтов многих клиентов Joker.com. Всего в базе регистратора доменных имен находится около 550 тысяч доменов.

«Joker.com в настоящее время подвергается массивной DDoS-атаке против своих DNS-серверов. Эта атака влияет как на DNS-разрешение самого Joker.com, так и на DNS-разрешения зарегистрированных у него доменов. Мы очень сожалеем о случившемся, и активно работаем над решением возникшей проблемы», — гласит заявление на сайте регистратора.

DNS-серверы, на которых хранятся записи соединения доменных имен с конкретными IP-адресами, являются привлекательным объектом для хакеров. Атаки против DNS-серверов дают хакерам возможность контролировать доступность огромного количества интернет-ресурсов. В 2002 году атаке подверглись корневые DNS-серверы интернета. В результате этой атаки возникли серьезные проблемы с передачей данных между сегментами глобальной сети, однако сама DNS-система почти не пострадала.

Неизвестные атаковали корневые DNS-серверы


Агентство IANA, а также официальный сайт root-servers.org сообщают, что зафиксировали необычно мощную DDoS-атаку.

На прошлой неделе кто-то попытался повлиять на работу интернета, осуществив атаку на ключевую часть его инфраструктуры — 13 корневых DNS-серверов. DDoS-атака произошла 30 ноября 2015 года и продолжилась 1 декабря. Пиковая мощность нападения составила 5 млн. запросов в секунду, передает xakep.ru.

Агентство IANA, а также официальный сайт root-servers.org сообщают, что зафиксировали необычно мощную DDoS-атаку. Инцидент, имевший место 30 ноября, длился 160 минут (почти три часа), а за ним последовала атака 1 декабря, продолжавшаяся час. И хотя корневые нэйм серверы способны выдерживать огромные нагрузки, злоумышленникам все же удалось на некоторое время увести в оффлайн серверы B, C, G и H. Дело в том, что пиковая мощность атаки составила 5 млн запросов в секунду на сервер, а это много даже для корневых DNS. Впрочем, серьезных последствий всё это не возымело, пользователи могли заметить лишь незначительные задержки при определении имен.

Читайте также:

  • Домен .onion запрещено использовать в общественном интернете
  • Как Россия будет защищать рунет от внешних атак
  • Бразильские пользователи стали жертвой необычной хакерской атаки

Официальный отчет гласит, что источник атаки выявить не удалось, так как злоумышленники использовали огромное количество IP-адресов, разбросанных по всему IPv4 пространству. Также сообщается, что атака отличалась от обычных усиленных DDoS-атак с применением DNS-серверов (в том числе корневых), когда неправильно сконфигурированные серверы используются в качестве отражателей запросов, с целью вывести из строя сторонний ресурс. В данном случае атакующие активно применяли спуфинг исходных IP-адресов, а также пропустили трафик через большое число anycast-сайтов.

В сети активно строят теории о том, кто мог стоять за атакой. Некоторые даже высказывают предположения, что это была демонстрация возможностей некоего огромного ботнета для потенциальных клиентов.

Для защиты от спуфинга IP-адресов, администраторам и интернет провайдерам рекомендуют использовать фильтрацию и валидацию запросов, отсылая их к документу BCP-38.

Хотите первыми получать важную и полезную информацию о ДЕНЬГАХ и БИЗНЕСЕ? Подписывайтесь на наши аккаунты в мессенджерах и соцсетях: Telegram, Twitter, YouTube, Facebook, Instagram.

Корневые DNS-серверы интернета атакованы хакерами

Подверглись хакерской атаке три из 13 DNS-серверов компании UltraDNS, отвечающих за интернет-зоны «.org», «.info» и некоторые другие.

Данные серверы предназначены для преобразования имен веб-сайтов в их цифровые IP-адреса и обеспечения работоспособности всемирной сети. Как сообщают местные СМИ, атака длилось несколько часов, и хотя она стала самой мощной с 2002 года, однако оказалась практически незамеченной большей частью пользователей Интернета, сообщает РИА Новости.

Хакеры намеревались добиться перегрузки основных DNS-серверов с помощью большого количества бессмысленных запросов, что привело бы к нестабильной работе значительного числа серверов по всему миру. Несмотря на то, что нападавшие пытались скрыть свое местоположение, эксперты отмечают, что значительная часть хакерсих запросов исходила из Южной Кореи.

Среди основных серверов, на которые были совершены нападения, были и те, которые находятся под управлением Пентагона, отмечают местные СМИ. В октябре 2002 года хакерами была предпринята аналогичная атака на 13 основных серверов. По оценке экспертов, из-за прогресса в области систем безопасности, нынешняя атака была менее опасной.

Добавить комментарий