Atac de amplificare DNS

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Această intrare va fi wikificată
Acest articol sau secțiune despre subiectul informaticii nu este încă formatat conform standardelor .
Contribuiți la îmbunătățirea acestuia în conformitate cu convențiile Wikipedia . Urmați sfaturile de proiectare de referință .

Atacul de amplificare DNS sau atacul Reflector DNS este un atac Distribuit Denial of Service (DDoS) care abuzează de serverele deschise de rezolvare și DNS recursive prin trimiterea către ultimele pachete care conțin informații falsificate despre IP - ul de origine ( IP spoofing ).

Deschideți rezolvarea și recursiunea serverului

DNS (sistemul de nume de domeniu) are o structură arborescentă și este compus din mai multe servere delegate ierarhic cărora li se atribuie diferite zone. Serverele pot fi autoritare pentru una sau mai multe zone (primară și secundară), redirecționare și recursive. Acestea din urmă sunt așa numite deoarece folosesc recursivitatea, adică procesul prin care un server de acest tip, la primirea cererii de rezoluție a unui nume, retrage lanțurile delegațiilor începând din zona rădăcină; de aici, obținând serverul de primul nivel care îl gestionează, îl interogă; interogă recursiv serverul din domeniul obținut la nivelul doi, până când numele dorit este rezolvat. (FIGURA 1)

În mod ideal, un server DNS recursiv (server de nume) ar trebui să accepte numai cereri (interogări DNS) de la clienți autorizați sau locali, dar acest lucru în marea majoritate a cazurilor nu se întâmplă, permițând interogarea lor către orice client. Aceste servere sunt definite ca „Open resolvers” și, ca parte a conferinței ShmooCon (2006), Dan Kaminsky și Mike Schiffman au făcut publice aproximativ 580.000 localizate pe internet.

Înregistrarea resurselor (RR)

Ca parte a unei solicitări DNS, se face o interogare la înregistrările pe care fiecare zonă le folosește pentru a organiza informațiile de competența sa; aceste înregistrări se numesc „înregistrări de resurse (RR)”. În mod specific, o înregistrare a resurselor este structurată după cum urmează:

CÂMPURI DESCRIERE
Proprietar Numele domeniului care deține înregistrarea.
Durata TTL (durata de viață) Determină cât timp informațiile de înregistrare rămân în memoria cache a serverului (acesta este un câmp opțional).
Clasă Clasa de membru a înregistrării, cum ar fi IN indică faptul că înregistrarea aparține clasei de internet.
Tip Tipul înregistrării resursei.
Date de tip înregistrare Conținutul său este variabil și depinde de clasă și de tipul de înregistrare. Conține informații despre resursă.

Pur și simplu, putem lua licența de a spune că aceste înregistrări conțin asocierea între numele de domeniu și informațiile solicitate, în funcție de tipul de înregistrare.

Exemplul 1: rezolvarea unui nume

FIGURA 1: Deschideți funcționarea și recursiunea serverului Resolver

în acest caz sunt consultate înregistrări de tip A care conectează gazda la adresa IPV4 pe 32 de biți.

Exemplul 2: Începerea cererii de autorizare (SOA)

Având în vedere că începutul autorizării (SOA) înseamnă „începutul autorizării”, cu acest tip de solicitare se solicită înregistrarea SOA care delimitează zonele autorizate și este unică pentru fiecare zonă, revenind în asociere: informații autoritare pe zonă (server DNS primar și secundar) numărul de serie al domeniului, adresa de e-mail a administratorului și câteva temporizatoare utile pentru gestionarea TTL (timpul de viață) al înregistrărilor și frecvența de transmisie.

Iată cum arată conținutul înregistrării SOA google.com :

Server de nume principal: ns1.google.com
E-mail al persoanei responsabile pentru acest domeniu: [email protected]
Număr de serie al zonei: 2009061800
Reîmprospătare: 7200 (2 ore) (un server de nume secundar trebuie să reîmprospăteze zona din primar după aceste câteva secunde)
Reîncercați: 1800 (30 de minute) (un server de nume secundar ar trebui să reîncerce după mai multe secunde dacă nu poate contacta principalul)
Expiră: 1209600 (2 săptămâni) (un secundar ar trebui să expire zona dacă nu poate contacta principalul după mai multe secunde)
TTL minim: 300 (5 minute) (serverele de nume care nu sunt primare sau secundare pentru acest domeniu ar trebui să înregistreze în cache numai înregistrările pentru acest număr de secunde.)

Exemplul 3: Utilizarea EDNS și a opțiunii de pseudo înregistrare (OPT)

Pentru a continua cu exemplul, este necesar să ne amintim că:

  1. User Datagram Protocol (UDP) este un protocol de comunicație utilizat pe internet, bazat pe trimiterea și primirea pachetelor.
  2. Cererea de comentarii (RFC) este o colecție de standarde de protocol utilizate pe internet, rapoarte și propuneri.

În primul rând, este necesar să definiți EDNS (Extension Mechanism for DNS - RFC 2671 ) ca o extensie a protocolului DNS, a cărui utilitate este să vă permite să specificați dimensiunea pachetelor UDP. Conform RFC 1035 , limita de dimensiune a pachetelor UDP este de 512 octeți, dar uneori apare nevoia de a depăși această limită, având astfel capacitatea de a transfera pachete mai mari. În acest scop, este necesar ca serverul DNS să primească o cerere (interogare) care conține o înregistrare OPT, din care serverul extrage informații despre stratul de transport UDP, inclusiv dimensiunea maximă pe care fiecare pachet o poate poseda și, optimizând spațiul, modifică răspuns, astfel încât să conțină cât mai multe înregistrări de resurse posibil. Este important să specificați că o înregistrare OPT este definită ca o pseudo-înregistrare, deoarece nu conține date DNS reale, ci informații despre stratul de comunicare UDP.

Descrierea atacului

FIGURA 2: Ilustrație schematică a atașamentului

Studiul acestui atac a adus conștientizarea faptului că pentru succesul său complet este necesar să îndeplinim două condiții fundamentale:

  • Un nume de domeniu valid cu înregistrări de resurse de tip SOA și TXT care acceptă EDNS
  • O interogare personalizată care conține adresa IP a victimei căreia îi va fi trimis ulterior răspunsul. Această tehnică se numește spoofing IP.

Primul punct este baza mecanismului de amplificare, al doilea se referă în schimb la refracția atacului. Conceptul de amplificare se bazează pe faptul că interogările (cererile) foarte mici pot genera răspunsuri mult mai mari, de exemplu o interogare UDP de 60 de octeți poate genera un răspuns de 512, care este de 8,5 ori mai mare decât cererea. Vom numi amplificarea răspunsului „factorul de amplificare”. Refracția, pe de altă parte, constă în ip-spoofing care este mecanismul prin care răspunsul este deviat către o altă destinație predeterminată. Cei care lansează acest atac folosesc de obicei o rețea de computere situate pe Internet (de exemplu un Botnet ) folosite în mod necunoscut pentru a trimite o multitudine de cereri către diferite servere DNS de resolver deschise. Acest prim aspect al amplificării este ulterior îmbunătățit prin intermediul mai multor interogări, pre-construite manual, concepute pentru interogarea diferitelor înregistrări de resurse ale domeniilor exploatate. De exemplu, să presupunem că trimiteți o cerere cu o interogare falsificată către un server DNS „open resolver” care, prin pseudo-înregistrarea OPT și utilizând EDNS, specifică o dimensiune mult mai mare decât pachetele UDP ca răspuns, de exemplu 4000 octeți . Din punctul de vedere al amplificării, este imediat evident că aceeași interogare de 60 de octeți își poate amplifica răspunsul până la 4000 de octeți, cu un factor de amplificare de 66,7. Acest factor poate fi crescut în continuare prin combinarea diferitelor răspunsuri obținute din interogarea înregistrărilor SOA, TIP A și TXT și în caz de fragmentare, adică dacă depășește MTU (Unitatea de transmisie maximă) a oricărui router care conectează „atacantul”. Serverele DNS către țintă, pachetele sunt redimensionate prin creșterea numărului în detrimentul țintei. O clarificare finală: operațiunile care permit atacul menționat anterior se bazează pe abuzuri (cum ar fi utilizarea necorespunzătoare a EDNS) și vulnerabilități (cum ar fi spoofing ip) ale serviciului DNS ale cărui servere participă involuntar la atac.

Notă

RFC 1918

^ ( EN ) http://www.faqs.org/rfcs/rfc1918.html

RFC 2671

^ ( EN ) http://www.faqs.org/rfcs/rfc2671.html

RFC 768

^ ( EN ) http://www.faqs.org/rfcs/rfc768.html

RFC 1035

^ ( EN ) http://www.faqs.org/rfcs/rfc1035.html

Echipa de pregătire pentru situații de urgență pentru computerul SUA-CERT din Statele Unite

^ ( RO ) http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf

Lansare preliminară a atacurilor de amplificare DNS (Randal Vaughn și Gadi Evron)

^ ( EN ) https://web.archive.org/web/20101214074629/http://www.isotf.org/news/DNS-Amplification-Attacks.pdf .

Elemente conexe

linkuri externe

  • Verificare amplificare DNS , pe ToolsRepo - vă permite să verificați configurația unui server DNS și potențialul său amplificare, în italiană . Adus la 21 decembrie 2014 (arhivat din original la 22 decembrie 2014) .
Adus de la „ https://it.wikipedia.org/w/index.php?title=DNS_Amplification_Attack&oldid=105145831