Возможность проведения атаки DNS Amplification в национальном сегменте Интернета
Оценка пользователей: / 29
ПлохоОтлично 
14.02.14 17:48
DNS AmplificationС развитием Интернета, вовлечением в него все более широкой аудитории пользователей, растет его прелесть для ведения бизнеса. Соответственно, обостряется конкурентная борьба и одним из специфических проявлений которой в сети является DDoS атаки.
По данным лаборатории Касперского, значительная часть хостов, участвующих в DDoS атаках последних лет, размещены, в том числе, и на территории Украины. Именно поэтому вопрос наличия или отсутствия на территории нашей страны DNS-серверов, которые могут быть использованы злоумышленниками для проведения DNS Amplification-атак, оценка масштабов угрозы с их стороны, является весьма актуальной проблемой.
Предметом исследования является разработка методики, позволяющей массового поиска уязвимых относительно DNS Amplification-атаки DNS-серверов и ее использования для исследования состояния вещей в интернет-пространстве Украины.
DNS Amplification-1
Суть атаки заключается в следующем: атакующий (компьютер или хост, который является частью ботнета) формирует DNS-запрос с поддельнім адресом отправителя (spoofing) к уязвимому DNS-серверу, ответ на который значительно превышает размер самого запроса и будет направлена на IP-адрес жертвы.
Для оценки разрушительной силы способности атаки на DNS-Amplification используется такой показатель, как «плечо атаки», или «коэффициент усиления» атаки. Максимально возможный коэффициент усиления примерно 512/17=30.
С внедрением EDNS, максимальное теоретически возможное плечо увеличивается: 4096/17=240. Хотя реальные плечи атак (за счет того, что запрос с использованием EDNS более 17 байт и достаточно просто получить ответ в полных 4096 байт), несколько меньше, но все же они достаточно значительные, могут быть около 80.
Легко подсчитать, какой интенсивности атаку можно получить с использованием только одного подключения в 100Мбит/с и «плеча» в 80 раз.
Для поиска DNS-серверов используем сканер nmap.
Для определения сетей, относящихся к интернет-пространству Украины, использовалась база MaxMind. С cvs-части базы с помощью скрипта geo2nginx.pl, что входит в пакет nginx, выделен и сформирован список украинских сетей. Для ускорения поиска путем параллельного сканирования, полученный список разбит, примерно, на 10 равных частей.
Окончательные данные исследования представлены в таблице
DNS Amplification-2
Рекомендации
Основной акцент решения проблемы, по мнению авторов, должно быть перенесено в сторону организационно-правовых мер, а именно:
  1. Широкое информирование интернет-сообщества, а особенно лиц, ответственных за работу сети Интернет и специалистов по интернет-безопасности о реальном положении вещей.
  2. Постоянный мониторинг тенденций развития ситуации (именно здесь могут быть использованы разработанные авторами методики массового исследования сетей на предмет поиска уязвимых DNS-серверов).
  3. Создание сервисов, где каждый желающий может проверить свой хост, а ответственные лица - свои сети, на предмет их возможного использования для проведения DNS Amplification-атаки.
Выводы
Анализ и проведенное исследование показывает, что:
  • Теоретические основы DNS Amplification-атаки несложные и доступные для понимания даже школьнику. Инструменты для поиска уязвимых серверов - достаточно простые и широкодоступные.
  • К большому сожалению, в национальном украинском сегменте сети Интернет присутствуют все условия для проведения такого рода атак. Поэтому, авторы предостерегают, если в ближайшее время не будут приняты решительные шаги для ее исправления, следует ожидать новые мощные атаки.
Автор Богдан Календрузь, МАН Украины
 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting