Ataki na serwery DNS. Poniżej prezentuję kilka typów ataków na

Transkrypt

1 PAWEŁ BASZKOWSKI Ataki na serwery DNS Stopień trudności Rozróżniamy ataki na serwery DNS różnego rodzaju. Wszystkie mają na celu dokonanie jak największych utrudnień w ruchu sieciowym np. poprzez zablokowanie czy przeciążenie go. Z ARTYKUŁU DOWIESZ SIĘ o protokole DNS, o typach ataków na serwery DNS, o tym jak ograniczyć niebezpieczeństwo ataku. CO POWINIENEŚ WIEDZIEĆ znać technologie sieciowe, na czym polega rozwiązywanie adresów sieciowych. Poniżej prezentuję kilka typów ataków na serwery DNS. Dodatkowe opisy pojęć w sekcji Terminy. Zatruwanie DNS (ang. cache poisoning) to technika phishingu polegająca na wysłaniu do serwera DNS fałszywego rekordu kojarzącego nazwę domeny z adresem IP. Serwer DNS zapamiętuje go na pewien czas (do kilku godzin) i zwraca klientom zapamiętany adres IP, czego skutkiem jest przeniesienie na fałszywą stronę. Cache poisoning może być zastosowany do uzyskania danych dotyczących np. logowania do serwisu aukcyjnego czy banku. Poprzez przekierowanie na identycznie wyglądającą stronę po wpisaniu nazwy użytkownika i hasła nic się nie dzieje, tak to odbieramy. W rzeczywistości dane te zostają zapisane na komputerze sprawcy, który może ich użyć na prawdziwej stronie i dokonać transakcji (np. przelew internetowy) w naszym imieniu. DNS spoofing jest to atak na serwer DNS, który posiada bazę danych przechowującą numery IP dla poszczególnych adresów mnemonicznych. Atak DNS spoofing polega na ingerencji w tablicę DNS i modyfikacji poszczególnych wpisów tak, aby klient zamiast do komputera docelowego kierowany był do komputera atakującego. Głównie wyróżnia się trzy ataki związane z fałszowaniem DNS: Atakujący włamuje się do serwera DNS, podmieniając odwzorowanie nazw URL na adresy IP. Zapytanie o dany adres URL zostaje odesłane do maszyny, która będzie kontrolowana przez atakującego. Atakujący może fałszować odpowiedź z serwera DNS przez kontrolę pomiędzy klientem, a serwerem nazw. Umożliwia to bezpołączeniowy charakter protokołu UDP. Numery sekwencyjne są zwiększane o jeden, co pozwala bardzo łatwo przewidzieć ich kolejność. Jeżeli atakujący potrafi odczytać wymianę pakietów z serwerem DNS, może przewidzieć numerowanie sekwencji. DNS cache może zostać zatruty, jak opisane wyżej, poprzez przesłanie fałszywej strefy z dużą wartością pola TTL. Atak jest wykonywalny przy założeniu, że zdalny serwer nazw jest kontrolowany przez atakującego. DNS Amplification to odmiana ataku DDoS, polegająca na wysłaniu zapytań do serwerów DNS ze sfałszowanym adresem zwrotnym (spoofing). Najczęściej wykorzystuje się do tego sieć przejętych przez agresora komputerów (np. duży botnet). Serwery DNS, w odpowiedzi na dziesiątki lub nawet setki tysięcy zapytań kierowanych z komputerów agresora, wysyłają odpowiedzi na jeden komputer, cel ataku włamywacza, zapychając jego łącze, pamięć i 20 HAKIN9 5/2010

2 I NA SERWERY DNS moc obliczeniową do granic możliwości. Atakowany ma małe możliwości obrony przed takim atakiem, gdyż odfiltrowanie odpowiedzi od DNS na odpowiedzi na zadane i na niezadane pytanie jest praktycznie niemożliwe. W maju 2006 w ten właśnie sposób zostało zaatakowane i doprowadzone do upadku przedsiębiorstwo Blue Security, które walczyło ze spamem. DRDoS (ang. Distributed Reflection Denial of Service) jedna z nowszych odmian ataku odmowy dostępu DoS. Powstała w wyniku połączenia metody zalewania żądaniami synchronizacji pakietów SYN (SYN flood) i metod wykorzystywanych przy rozproszonych atakach odmowy dostępu DDoS. Polega na generowaniu specjalnych pakietów SYN, których adres źródłowy jest fałszywy jest nim adres ofiary. Następnie duża liczba takich pakietów jest wysyłana do sieci. Komputery, do których one docierają, odpowiadają pakietami SYN/ACK kierowanymi na adres pochodzący z fałszywego nagłówka. W wyniku czego ofiara jest zalewana olbrzymią ilością pakietów z wielu hostów. W porównaniu do tradycyjnego ataku typu DDoS utrudnia to wykrycie rzeczywistego źródła ataku. SYN flood to jeden z popularnych ataków w sieciach komputerowych. Jego celem jest głównie zablokowanie usług danego serwera (DoS). Do przeprowadzenia ataku wykorzystywany jest protokół TCP. Luka w protokole DNS Luka wykryta przez specjalistę ds. bezpieczeństwa sieciowego Dana Kaminsky'ego, umożliwia przejęcie kontroli nad serwerami nazw. Problem dotyczy protokołu DNS, na atak podatne są wszystkie serwery niezależnie od platformy. Atakujący dzięki wykorzystaniu luki może przejąć kontrolę i przekierować ruch w inne miejsce. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie ofiary z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowanego internauty zupełnie niezauważalna. Taka technika przestępcza nazywana jest zatruwaniem DNS (DNS poisoning) do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na komputerze. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Atakujący mogą bez użycia phishingu przekierować ofiary na oszukańcze witryny. Przy lepszym przygotowaniu nie tylko strony, ale znaczna część ruchu może zostać przekierowana, co spowoduje uzyskanie dostępu do wielu poufnych danych. Luka wykryta przez Kaminsky'ego dotyczy sposobu jak serwery uzyskują informacji od siebie nawzajem. Gdy serwer DNS nie posiada informacji, próbuje ją uzyskać od innego serwera. Luka pozwala wysłać tak spreparowane dane, że serwer DNS uznaje je za prawidłowe. Metodologia dokonanych ataków Ataki bazują na 2 głównych kwestiach. Po pierwsze mimo wykrycia luki w systemie informatycznym administratorzy i tak nie aktualizują systemów. Jak informuje NASK, który dokonał takiego sprawdzianu analizy ponad 150 mln zapytań DNS do serwerów domeny.pl okazało się, że blisko 70% resolverów (znajdujących się w polskich klasach adresowych) jest nadal podatna na atak typu cache poisoning. Listing 1. Określenie pola TTL domena.com: type A, class inet, addr Name: domena.com Type: Host address Class: inet Time to live: 15 minutes Data length: 4 Addr: domena.net: type A, class inet, addr Name: domena.net Type: Host address Class: inet Time to live: 1 day, 15 hours, 38 minutes, 29 seconds Data length: 4 Addr: Po drugie, ataki bazujące na tym fakcie wykorzystują znane mechanizmy ataku. I tak atak SYN flood polega na wysyłaniu dużej ilości pakietów z ustawioną w nagłówku flagą synchronizacji (SYN) i najczęściej ze sfałszowanym adresem IP nadawcy (IP spoofing). Pakiety TCP z ustawioną flagą SYN służą do informowania zdalnego komputera o chęci nawiązania z nim połączenia. Podczas takiego ataku serwer, który otrzymał pakiet z flagą SYN na port, który jest otwarty, odpowiada na każdy pakiet zgodnie z zasadami protokołu TCP wysyłając pakiet z ustawionymi flagami synchronizacji (SYN) i potwierdzenia (ACK) do komputera, który w tym wypadku nie istnieje, istnieje, ale nie zamierzał nawiązywać połączenia z atakowanym hostem lub jest to komputer atakowanego, który specjalnie nie odpowiada. Powoduje to przesyłanie dużych ilość danych i obciąża łącze sieciowe. Oprócz odpowiedzi na pakiety SYN atakowany komputer zapisuje w tablicy stanów połączeń informację, że nastąpiła próba połączenia i wysłano potwierdzenie (pakiet z flagami SYN i ACK). Tablice te są przechowywane w pamięci RAM, a ich wielkość jest ograniczona. Jeżeli taki atak będzie powtarzany a liczba takich pakietów będzie bardzo duża, w pewnym momencie nastąpi przepełnienie tablicy połączeń atakowanej maszyny co spowoduje, że ów komputer nie będzie akceptował następnych przychodzących połączeń. Serwer wówczas będzie cały czas w stanie oczekiwania na pakiety ACK, które nigdy nie nadejdą. 5/2010 HAKIN9 21

3 Ciągły atak SYN flooding powoduje zaprzestanie odpowiadania na nowe zapytania. Jak również spowalnia obsługiwanie otwartych połączeń poprzez znaczny wzrost zapotrzebowania na zasoby komputera (przede wszystkim pamięć). W skrajnym przypadku może spowodować zawieszenie systemu. Atak z wykorzystaniem DNS spoofing polegać będzie na podszyciu się pod stronę np. banku, co w efekcie doprowadzi do uzyskania dostępu do konta ofiary. Może być dokonany też na stronę WWW dużej korporacji, czego efektem będzie przejęcie klientów. Dla serwera FTP podszycie spowoduje przejęcie danych wysłanych na serwer przez ofiarę lub podstawienie własnych w przypadku, gdy pobierane są jakieś pliki. Ciekawy sposób to podszywanie się pod systemy automatycznego sprawdzania najnowszej wersji oprogramowania. Gdy intruz podszyje się pod serwer, z którego korzysta ofiara może spowodować instalowanie oprogramowania podstawionego i obejście zabezpieczeń opartych na dostępie z wybranych komputerów, puli adresowej lub poprzez inne obostrzenia. Tabela 1. Przykładowy scenariusz ataku Przykład ataku na serwer DNS Przykładowy atak przy użyciu DNS spoofing. Spróbujemy dokonać ingerencji w tablicę DNS i modyfikację poszczególnych wpisów tak, aby klient zamiast do komputera docelowego skierowany był do komputera atakującego. Każdy serwer DNS posiada swoją własną pamięć podręczną, gdzie przechowuje informacje na temat ostatnio przeprowadzonych mapowań. Czas przechowywania informacji określa pole TTL danego komunikatu DNS. Oznacza to, że jeśli intruzowi udałoby się przesłać serwerowi spreparowaną przez siebie informację to zostałaby ona zapamiętana i użyta przy każdym następnym zapytaniu. Wiadomo też, że każdy serwer DNS nasłuchuje na porcie 53 i jest gotowy przyjąć jakiekolwiek zapytanie pochodzące od dowolnego komputera w Internecie. Intruz może więc wykorzystać te dwie cechy serwerów DNS na potrzeby ataku, gdyż dzięki nim sam może zadać serwerowi DNS dowolne zapytanie i w odpowiedzi, którą na nie wyśle w polu TTL wpisać maksymalną wartość. Po tym zabiegu każdy, kto zada serwerowi DNS takie samo pytanie, otrzyma odpowiedź Etapy Opis Czas od rozpoczęcia 1 Odpytywany jest serwer o domenę domena.com. Informacje zostają zapamiętane w pamięci podręcznej. 2 Rozpoczęcie ataku DoS przeciw serwerowi autoryzacji. To spowoduje zapchanie go, nie będzie w stanie odpowiadać na żadne zapytanie. 3 Intruz zadaje serwerowi zapytanie o IP komputera domena.com 4 Zaczyna się wysyłanie serwerowi podstawionych odpowiedzi z adresem źródłowym komputera autoryzacji z ustawioną maksymalną wartością TTL, która zawiera informację o komputerze domena.com jako hack.int.pl. Jest to łącznie pakietów, każdy z identyfikatorem odpowiedzi. 5 Zakończenie wysyłania podstawionych pakietów. Teraz serwer ma w swojej pamięci podręcznej podstawione dane dotyczące komputera domena.com 6 Nieświadomy użytkownik wydaje polecenie telnet domena.com i zostaje połączony z hack.int.pl ok. 5 sekund sekund 15 minut 15 minut i 5 sekund 15 minut i 25 sekund 30 minut pochodzącą z pamięci podręcznej, czyli z informacji podstawionych przez intruza. W ten sposób intruz nie musi znać dokładnego czasu, w którym atakowany serwer DNS będzie zadawał pytanie. A co z identyfikatorem odpowiedzi? Jeśli używane jest oprogramowanie BIND, identyfikator odpowiedzi jest liczbą losową i określenie jej jest praktycznie niemożliwe. Musiałby wysyłać pakiety wraz ze wszystkimi możliwymi wartościami. Jeśli serwer DNS będzie działał na platformie Windows (NT lub nowszej Server 2003 i wzwyż) to okazuje się że generowane są identyfikatory pytań (przewidywalne, bo każde kolejne zapytanie ma identyfikator większy o jeden w porównaniu do poprzedniego). Przewidzenie więc prawidłowego identyfikatora nie będzie skomplikowane. Potrzebny jeszcze adres źródłowy. Wydając odpowiednie polecenie dowiemy się ile serwerów nazw obsługuje daną domenę. To, z którego skorzystać atakowanym serwerem DNS, można określić przez pole TTL. Na Listingu 1 prezentowany jest tego przykład. Pole TTL (Time to live:) zawiera informację na temat przechowywania danych w pamięci podręcznej. Oznacza to, że po 15 minutach informacja dotycząca serwera domena.com zostanie usunięta z pamięci podręcznej. Dla porównania informacja o domena.net będzie przechowywana znacznie dłużej, bo ponad 1 dzień. Przykładowy scenariusz ataku czy przetestowania próby ataku na serwer DNS wykonamy przy użyciu komputera intruza (hack.int.pl). Celem będzie spowodowanie, by po wydaniu polecenia telnet domena.com komputer użytkownika połączył się z komputerem intruza. Szczegółowy scenariusz postępowania znajduje się w Tabeli 1. Taki atak ma duże szanse na powodzenie. Kilkanaście sekund między rozpoczęciem a zakończeniem wysyłania podstawionych pakietów (punkty 4 i 5) to czas wystarczający na przesłanie do atakowanego serwera pakietów. Stwierdzone jest, że długość każdego z tych pakietów wynosi około 100 bajtów. 22 HAKIN9 5/2010

4 I NA SERWERY DNS W opisywanym scenariuszu zakładamy intruza w tej samej podsieci i łączem 10 Mbps. Wystarczyłoby nam kilka sekund, ale dla pewności wykonujemy to w kilkanaście. Ze względu na wydajność urządzeń aktywnych i gotowość do przyjęcia ilości pakietów. Te kilka sekund wyliczamy ze wzoru: (ip*dp)*8/1024*1024/s=t T czas potrzebny na wysłanie pakietów (sek), IP ilość danych (pakietów) do wysłania, DP długość każdego pakietu, S prędkość łacza (Mbps), (65535*100)*8/1024*1024/10 = 5 sek. Jak się obronić przed atakami? Jednym ze sposobów na zapobieganie atakom (np. typu SYN flood) jest Terminy BIND (Berkeley Internet Name Domain, poprzednio: Berkeley Internet Name Daemon) jest popularnym serwerem (demonem) DNS. Został stworzony przez Paula Vixie w roku 1988 podczas jego pracy w DEC. BIND jest jednym z najpopularniejszych serwerów DNS wykorzystywanym w systemach Linux i Unix. BIND stanowi niezmiernie ważny składnik, zapewniający poprawne działanie systemu nazw w Internecie. Wielu użytkowników globalnej sieci bezwiednie korzysta z serwera BIND, kiedy ich przeglądarka WWW odpytuje o adres IP komputer udostępniający żądaną stronę. Nowa wersja BIND 9 została napisana od zera, aby rozwiązać część problemów z architekturą poprzednich wydań tego programu, gdzie każda była kontynuacją poprzedniej i ulepszając ją zawierała również jej słabości. W wersji 9 zapewniono obsługę rozszerzeń bezpieczeństwa (DNS Security Extensions), dodano obsługę rekordów TSIG (uwierzytelnianie kryptograficzne), powiadomień DNS, nsupdate (ułatwiona aktualizacja rekordów DNS), IPv6, czyszczenie rekordów rndc (rndc flush), widoków, pracy wieloprocesorowej oraz poprawiono poziom przenośności kodu między różnymi platformami. BIND był rozwijany od wczesnych lat 80-tych XX wieku w ramach projektów DARPA. W połowie dekady prace nad serwerem przejęła korporacja DEC. Jednym z jej pracowników biorących udział w projektowaniu BIND-a był Paul Vixie, który kontynuował swoją pracę po opuszczeniu tej firmy. Potem stał się jednym z założycieli ISC (Internet Software Consortium), organizacji zarządzającej standardami Internetu, która przejęła prace nad dalszym rozwojem BIND-a. BIND 9 powstał podczas realizacji kilku komercyjnych oraz wojskowych projektów. Firmy wykorzystujące Unix chciały zapewnić, by BIND był ciągle konkurencyjny (bezpieczniejszy) względem serwerów DNS oferowanych przez Microsoft. Rozwój protokołu DNSSEC był wspierany przez wojsko USA, które chciało zwiększyć bezpieczeństwo systemu nazw. DNS (Domain Name Service) to hierarchiczny system nazw domenowych dla urządzeń zainstalowanych w Internecie. Pozwala na rozwiązywanie nazw konkretnych hostów na ich adresy IP. Podstawowa zasada DNS to fakt nie posiadania jednego centralnego serwera, a przynajmniej kilku, przechowujących nazwy domen i ich adresów IP. Jest to zabezpieczenie przed awarią jednego, tak by drugi z serwerów mógł przejąć jego rolę jako zapasowy serwer DNS. Kilkanaście głównych serwerów (root) nie utrzymuje pełnej listy adresów, które możemy znaleźć w Internecie, a listę innych serwerów DNS, które znają drogę do danego adresu. DoS (Denial of Service) to atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów. DDOS (Distributed Denial of Service) atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. Zombie). DNSBL jest to oparta na DNS, usługa wykorzystywana do publikowania czarnych list adresów IP nadawców spamu. Jest wykorzystywana w wielu programach antyspamowych. Phishing w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej. Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL (America On Line). Atakujący udawał członka zespołu AOL i wysłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla zweryfikowania konta lub potwierdzenia informacji w rachunku. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu. Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali. Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje adres do niej był podawany jako klikalny odsyłacz w poczcie phishera jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w przeglądarkach, który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób np. zamiast Spoofing polega na podszywaniu się pod inny autoryzowany komputer. Cel pozostaje ten sam, oszukanie systemów zabezpieczających. Tradycyjnie, podszywanie oznaczało działanie atakującego, polegające na przeprowadzeniu procesu autoryzacji z jednego komputera do drugiego poprzez sfałszowanie pakietów z zaufanego hosta. Ostatnio podszywaniem określa się dowolną metodę łamania zabezpieczeń autoryzacyjnych opartych na adresie lub nazwie hosta. Rodzajami spoofingu jest: ARP spoofing, DNS spoofing, IP spoofing, Route spoofing, Non-blind i Blind spoofing. 5/2010 HAKIN9 23

5 wdrożenie do systemu firewalli, które limitują ilość pakietów SYN przesyłanych do danego serwera lub implementują mechanizm SYN cookies. Kolejny ze sposobów to sprawdzenie, czy serwer DNS, z którego korzystamy, jest podatny na atak, można użyć w tym celu narzędzia DNS Checker. Na uwagę zasługuje także zróżnicowany test, który sprawdza przypadkowość portów źródłowych i identyfikatorów transakcji, stworzony przez DNS-OARC. Przed DNS spoofing ochronić może wyłączenie obsługi pamięci podręcznej przez serwery DNS. W ten sposób intruz nie będzie mógł wprowadzić do pamięci nieprawdziwych danych. Nie wyeliminuje w pełni, ale zmusi do przewidzenia, kiedy ofiara zleci serwerowi DNS zmapowanie danego adresu IP czy nazwy komputera. Wprowadzi to do scenariusza ataku dodatkowe przeszkody i zwiększy prawdopodobieństwo nieudanego ataku. Rozwiązanie nie jest idealne, ostatnio używane dane nie będą w pamięci podręcznej, więc zwiększony będzie nieco ruch sieciowy. Mimo to, jest to skuteczna metoda zwiększenia poziomu bezpieczeństwa protokołu. Czynnikiem powodującym tak duże zagrożenia przy korzystaniu z DNS jest fakt wykorzystywania przez niego bezpołączeniowego protokołu UDP. Najrozsądniejszym wyjściem z sytuacji wydaje się więc zastosowanie w jego miejsce protokołu TCP. Oprogramowanie BIND używa w pewnych warunkach TCP dzieje się tak np. wtedy, gdy komunikat DNS ma długość większą niż 512 bajtów. Gdyby przerobić oprogramowanie BIND w taki sposób, aby cały czas korzystało ono z TCP, problem podrabiania odpowiedzi DNS zostałby rozwiązany. Obecnie trwają prace związane z wdrożeniem w Internecie protokołu DNSSEC. Jest on zaprojektowanym praktycznie od początku odpowiednikiem DNS, jednak w trakcie jego projektowania główny nacisk położono na bezpieczeństwo. Podczas mapowania adresów wykorzystuje on infrastrukturę klucza publicznego serwerów oraz odpowiednie certyfikaty potwierdzające autentyczność odpowiedzi. Jest to oczywiście bardzo bezpieczne rozwiązanie, posiadające jednak pewną istotną wadę nie jest kompatybilne ze starszą wersją DNS. Wymaga, aby wszystkie serwery DNS w Internecie korzystały z DNSSEC, co oczywiście znacznie utrudni szybkie jego upowszechnienie. Bardzo ważnym krokiem, poczynionym przez twórców BIND-a, było zaimplementowanie obsługi DNSSEC w najnowszej wersji ich oprogramowania. Oznacza to, że poszczególne serwery DNS mogą pracować jednocześnie ze starszą i nowszą wersją protokołu. Na pewno przyspieszy to upowszechnienie się DNSSEC, jednak stopień skomplikowania konfiguracji potrzebnej do prawidłowego działania nowego protokołu nie wróży mu w najbliższej przyszłości lawinowego przypływu nowych użytkowników. Wielorakość usług świadczonych w Internecie uniemożliwia sporządzenie szczegółowego wykazu wszystkich sytuacji, w których bierne korzystanie z protokołu DNS jest niebezpieczne. Są też niestety usługi, które do swojego działania wymagają DNS-u, nie może więc próbować obejść tego i wpisywać np. bezpośrednio adresu IP. W takim przypadku nie ma oczywiście możliwości rezygnacji z tego protokołu. Jednym z najważniejszych przykładów jest tu usługa poczty internetowej, która swoje działanie opiera w dużym stopniu na DNS. Jeśli mówimy o DdoS, to nie ma takiego łącza, którego nie da się zapchać ruchem ataki powyżej 20 GB/s czy 20 mln pakietów na sekundę już się zdarzają. W świecie połączeń internetowych o przepływnościach 2, 10, 34, 100, 155, 622 czy nawet 1000 MB/s taka wartość robi wrażenie. Dostawcy usług oraz dostawcy sprzętu tworzą filtry ruchowe. Wydzielają adresację IP urządzeń przenoszących ruch. Pozwala to na łatwe odfiltrowanie na brzegu własnej sieci ruchu kierowanego do urządzeń sieciowych, a tzw. tranzytowego do lub z hostów wewnątrz sieci. Realizuje się to, wydzielając interfejsy osobno do ruchu zewnętrznego i wewnętrznego. Kolejny krok to MPLS do ukrycia własnej sieci przed zewnętrznymi atakami z Internetu i przenoszenie ruchu w sposób niepozwalający na odkrycie wewnętrznej struktury połączeń. Wdrażane są też konkretne mechanizmy, jak zalecenia związane z ograniczaniem ruchu do serwerów głównych systemu DNS i nakłanianiu albo przekierowywaniu zapytań do serwerów własnych. By stwierdzić i zatrzymać atak DdoS, warto obserwować ruch sieciowy na interfejsach urządzeń. Obciążenia procesorów sprawdzimy za pomocą protokołu SNMP. Przydatne są wszelkie urządzenia IPS (Intruder Prevention System) znanych firm specjalizujących się w zabezpieczaniu ruchu sieciowego. Są tam wdrożone algorytmy i dzięki temu urządzenia te są w stanie wykryć anomalie. Dodatkowo wszelkie zmiany używanych standardowych portów na inne są również skuteczne. Dla przykładu DNS jednej z popularnych przeglądarek nie używa standardowego numeru portu odpowiedzi 53 (UDP), lecz dla każdego zapytania losuje inny numer portu (używając 15 bitów, które pozwalają na wykorzystanie około losowych numerów portów). System radzi sobie też z usuwaniem zduplikowanych zapytań, nie pozwalając na więcej niż jedno żądanie dla tej samej nazwy, typu oraz docelowego IP. Podsumowanie Zawsze należy systemy informatyczne łatać i aktualizować by były zabezpieczone oraz kierować się także zdrowym rozsądkiem, szczególnie w przypadku wszelkich operacji dokonywanych w Internecie. Pamiętajmy, że w Internecie nie jesteśmy anonimowi, wszelkie działania elektroniczne są rejestrowane. Paweł Baszkowski Właściciel i założyciel IT Studio, inżynier informatyk z wieloletnim doświadczeniem w branży IT. Zarzadzał i zarządza sieciami i telekomunikacją (m.in. w logistyce, bankach, automatyce przemysłowej). Kierowal i uczestniczył w wielu wdrożeniach i projektach informatycznych. Jest absolwentem MBA, uwielbia pracę techniczną. Kontakt z autorem: pbaszkowski@itstudio.pl, ( ). 24 HAKIN9 5/2010