10 Февраля 2023

Атаки на DNS: типы и меры защиты

Серверы DNS нередко становятся целями кибератак, что неудивительно: система доменных имен (DNS) является одним из ключевых компонентов Интернета, и сбои на ее узлах оказываются весьма болезненными как для их владельцев, так и для их пользователей. Среди наиболее частых на сегодня видов киберударов по DNS — DDoS-атаки.

Цель DDoS-атак на DNS — добиться того, чтобы DNS-серверы не смогли обработать, по крайней мере, заметную часть поступающих к ним запросов, в результате чего клиенты этих серверов не могут получить доступ к сайтам по их доменным именам. Если атакованный DNS-сервер обеспечивает доступ к интернет-ресурсам в конкретном дата-центре, то доступ извне к этим ресурсам по их доменным именам тоже будет ограничен.

Отказ DNS-сервера в обслуживании может достигаться одним из двух способов. Первый, самый банальный — переполнение канала, связывающего сервер DNS с Интернетом. Второй способ, более хитрый — создание мощного потока нелегитимных запросов к DNS-серверу, обработка которых приводит к сильному снижению его производительности. Если мощности сервера окажется недостаточно, он может и вовсе на какое-то время стать недоступным.

Согласно статистике нашей компании, в первом полугодии 2022 года DNS атаки занимали второе место по общему числу DDoS-атак в России. В третьем квартале они переместились на «почетное» третье место. Как видим, угроза DDoS-атак остается актуальной, поэтому владельцам DNS-серверов и клиентам сервисов DNS нужно быть постоянно готовыми к новым подобным атакам, для этого необходима надежная схема защиты DNS-сервера от атак.

Виды DDoS-атак на серверы DNS

На практике чаще всего встречаются следующие векторы атак на сервисы DNS: DNS-флуд, атаки на DNS с отражением (DNS Reflection) и с усилением (DNS Amplification).

• DNS-флуд строится на генерации потока нелегитимных запросов к DNS-серверу, выбранному в качестве жертвы. Мощность потока при этом должна быть достаточной, чтобы затруднить работу DNS-сервера или вовсе исчерпать его вычислительные ресурсы. Для организации атаки злоумышленники используют ботнеты, которые отправляют пакеты (зачастую некорректные) с запросами, указывая при этом сфальсифицированные (нередко сгенерированные случайным образом) IP-адреса. DNS-сервер пытается определить, что с такими запросами делать и каким образом их обработать, и расходует на эти цели существенную часть своих ресурсов — вплоть до полного их исчерпания. Отметим, что в этом типе DDoS-атак применяется прямое воздействие ботнетов на сервер DNS, поэтому такие атаки относят к категории симметричных.
• Атаки на DNS с отражением организуются путем отправки поисковых запросов не на сам сервер-жертву, а на сторонние DNS-серверы, имеющие уязвимости, указывая в качестве обратного адреса IP-адрес сервера-жертвы. В результате на DNS-сервер, выбранный в качестве жертвы, приходит поток ответов, мощность которого оказывается во много раз больше, чем совокупная мощность исходного потока сфальсифицированных запросов к сторонним DNS-серверам. Таким образом, в атаках с отражением используется опосредованное, асимметричное DDoS-воздействие на DNS-сервер.
• Атаки на DNS с усилением представляют собой усовершенствованный вариант DNS-атак с отражением: в них создается поток «отраженных» пакетов, во многие десятки раз больший по мощности, чем исходный поток поддельных запросов к сторонним DNS-серверам. Такой эффект может быть достигнут, например, путем отправки сфальсифицированных запросов определенного вида на сторонние DNS-распознаватели (DNS resolvers). Каждый из ответов будет в 60-70, а то и более раз длиннее исходного. При достаточной мощности исходного потока сфальсифицированных запросов ответы, отправленные к серверу-жертве, могут переполнить весь его канал связи с Интернетом. DDoS-атаки на DNS с усилением, также как и атаки с отражением, относятся к категории асимметричных.

cta1

Примеры DDoS-атак на DNS

Одна из недавних громких атак на DNS-серверы началась в конце февраля 2022 года, когда политически мотивированные злоумышленники нацелились на инфраструктуру компании RU-CENTER — одного из крупнейших в России регистраторов доменных имен и хостинг-провайдеров. Последствия этой атаки в скором времени почувствовала не только сама компания, но и многие ее клиенты, с которыми работаем и мы: их сайты были то доступны, то недоступны, причем такая нестабильность наблюдалась в общей сложности несколько суток. Наши специалисты помогли компании RU-CENTER восстановить работоспособность ее DNS-серверов, а подключение наших сервисов защиты позволило обеспечить их непрерывную доступность в дальнейшем.

Как видим, угрозы DDoS-атак на DNS-серверы вынуждены учитывать и клиенты организаций, владеющих автономными сетями, и, конечно же, сами эти организации. Что важно, этим атакам могут подвергнуться не только на регистраторы доменных имен, провайдеры хостинговых и облачных сервисов, но и, например, банки. Так, одними из первых в конце февраля 2022 года DDoS-ударам подверглись именно их DNS-серверы — злоумышленники рассчитывали таким образом вывести из строя сети банкоматов.

Риски DDoS-атак для владельцев DNS-серверов и их клиентов

Клиенты успешно атакованного DNS-сервера сталкиваются с нестабильностью или полным отсутствием доступа к сайтам по их доменным именам. Ситуация для клиентов усугубляется тем, что они не могут быстро подключить защиту DNS-серверов. Из-за того, что атакованный DNS-сервер не справляется с оперативной обработкой легальных запросов, замена прежних IP-адресов на защищенные от DDoS-атак может длиться по несколько часов, а не несколько минут, как обычно.

Владельцы незащищенного DNS-сервера могут столкнуться не только со сбоями в бизнес-процессах и простоями своих сотрудников, но также с претензиями и исковыми заявлениями своих клиентов. Часть из них наверняка предпочтет перейти к конкурентам, чьи сервисы DNS более надежно защищены от DDoS-атак. Какая-то часть непременно расскажет о сбое в своих новостях, блогах и соцсетях, что для владельцев DNS-серверов чревато репутационными издержками. При определенных условиях они вполне способны обернуться реальными финансовыми потерями.

Способы повышения устойчивости DNS-серверов к DDoS-атакам

Для тех, кто пользуется внешними сервисами DNS, главным способом повышения устойчивости к DDoS-атакам на DNS является резервирование этих сервисов. Чтобы его обеспечить, нужно подключиться, как минимум, к двум провайдерам сервисов DNS, причем хотя бы один из этих сервисов должен быть надежно защищен от DDoS-атак.

Владельцам собственных серверов для обеспечения безопасности DNS-сервера необходимо предпринять целый ряд мер. Прежде всего, нужно найти провайдера сервисов DDoS-защиты, имеющего сетевой фильтр с защитой DNS. Получив от клиента IP-адреса его DNS-серверов, этот провайдер установит подключение и запустит BGP-сессию, в которой клиент анонсирует нужные IP-префиксы в сеть провайдера. Получив анонсы, провайдер их примет и обеспечит фильтрацию трафика.

Следует обратить внимание на то, что далеко не все провайдеры защиты умеют ограждать DNS-серверы от DDoS-рисков. Наиболее компетентные, такие как StormWall, обладают богатым арсеналом способов фильтрации DNS-трафика от нелегитимных пакетов и умело применяют их в зависимости от особенностей конкретного клиента.

Многие другие наши рекомендации по защите DNS от DDoS из сформулированных ранее принципов защищаемости от DDoS-атак. Чтобы у злоумышленников было как можно меньше «полезной» информации о ваших ресурсах, нужно, во-первых, ограничить круг лиц, имеющих права системного администратора для доступа к серверам DNS. Важно при этом, чтобы те, кто имеют такие права, могли получать доступ только изнутри сети либо через VPN. Все неиспользуемые сетевые протоколы, сервисы и прочие функции DNS-серверов нужно отключить.

Кроме того, необходимо добиться устойчивости работы DNS-серверов в условиях слабых атак. Для этого нужно, чтобы достаточным запасом производительности и пропускной способности обладали не только сами серверы DNS, но и связанные с ними инфраструктурные компоненты, например балансировщики нагрузки серверов. Повысить отказоустойчивость DNS-серверов поможет и их размещение в разных дата-центрах. При этом желательно, чтобы они относились к разным сегментам сети и имели по несколько путей маршрутизации трафика, чтобы злоумышленники не смогли добиться отказа в обслуживании DNS-серверов простым переполнением их каналов доступа в Интернет.

Важно также отключить рекурсивную обработку запросов на DNS-серверах, поскольку злоумышленники могут использовать ее для спуфинга. Кроме того, полезно отключить перенос доменных зон на ваши DNS-серверы и запретить динамическое обновление зон DNS.

Как мы уже сказали, владельцам автономных сетей нужно быть постоянно готовыми к DDoS-атакам на них. А это означает, что необходимо заранее разработать план аварийного восстановления атакованных DNS-серверов — он может потребоваться, например, в случае, если атака не просто привела к деградации их производительности, но и сопровождалась спуфингом или другими действиями, нарушающими целостность их баз данных. И, очевидно, нужно заранее готовить специалистов к подобным ситуациям, чтобы они четко знали, кто и что должен делать, если они случатся.