Trend Micro об угрозе DDoS с DNS-плечом

Ввиду учащения случаев использования злоумышленниками техники отражения DNS-запросов при проведении DDoS-атак Trend Micro призывает операторов NS-серверов и интернет-провайдеров внести посильный вклад в борьбу с этой угрозой.

Как мы уже писали, DDoS-атака по типу отражения DNS-запросов (DNS reflection) предполагает использование NS-резолверов, принимающих рекурсные запросы от сторонних пользователей, ― так называемых «открытых резолверов». Атакующий формирует DNS-запрос, подменяя IP-адрес источника, и направляет его на такой сервер. Ответ, разумеется, пойдет туда, куда перевели стрелки, ― на адрес мишени. Чтобы увеличить объемы трафика, создаваемого с помощью NS-посредника, дидосер отсылает на него запросы, требующие пространного ответа, такие как запрос на вывод всех DNS-записей в конкретной зоне или записей DNSSEC. Пропускная способность DNS-резолверов достаточно велика, поэтому атакующий может создать мощный DDoS-трафик при малом числе хостов-участников.

Поскольку эти реальные источники атаки немногочисленны и хорошо замаскированы, их трудно обнаружить, и здесь, как справедливо отмечают эксперты, большую помощь могут оказать сетевые администраторы и операторы DNS-серверов. По некоторым оценкам, как пишет Trend Micro, к спуфингу уязвимы 14,1% подсетей в современном интернете, на которые приходится 16,8% общего адресного пространства. В то же время дидосерам, использующим DNS reflection, требуется менее процента всех IP-адресов, чтобы нанести жертве ощутимый урон. Эксперты указывают, что интернет-провайдер может заблокировать источник такой атаки, применив фильтрацию входного трафика на граничном роутере или защитном экране. Пакету с поддельным адресом отправителя будет отказано в транзите, так как этот адрес не прописан в подопечном блоке адресов, с которого пришел данный пакет. Такой метод не избавит от спуфинг-атак в пределах клиентской подсети, но поможет предотвратить атаки на сторонние мишени. Реализация защитного фильтра подробно описана в меморандуме BCP-38 Сетевой рабочей группы IETF.

Операторы DNS-серверов, обслуживающих домены с публичным доступом, не имеют возможности проверять подлинность сторонних источников запросов. Во избежание злоупотреблений Trend Micro рекомендует им разделить NS-серверы на 2 группы. Одна будет принимать внешние запросы на доступ к клиентским ресурсам, игнорируя запросы к чужим хостам. Вторую NS-группу следует настроить на обслуживание рекурсных запросов своих клиентов, чтобы обеспечивать им доступ к любым интернет-площадкам. (Эксперты отмечают, что можно и не вводить такое разделение труда, обходясь одной группой DNS-серверов, однако это усложнит их конфигурацию.) Если все же NS-служба по каким-то причинам не может обойтись без открытых резолверов, ее оператору надлежит ввести ограничение по трафику, чтобы не вводить в искушение злоумышленников.