Attacchi DDOS via server DNS

Scritto da R. Cecchini, A. Pinzani, M. S. Scollo & S. Venuti.

https://www.cert.garr.it

Valutazione attuale: 4 / 5

Stella attivaStella attivaStella attivaStella attivaStella inattiva
 

Questo breve articolo non vuole essere un trattato esaustivo sull'argomento per il quale rimandiamo ai link riportati.

Di cosa stiamo parlando?

Come vengono usati i server DNS per un attacco DDOS? Semplicemente inviando un pacchetto di query con il mittente falsificato (è la vittima). Scegliendo opportunamente il server, potrebbe essere stato compromesso con l'inserimento di un grosso record TXT oppure semplicemente risponde anche quando non dovrebbe, si ottengono fattori di amplificazione anche fino a 100. Cioè con una query di circa 40 byte, la vittima si vede arrivare una risposta di anche 4000 byte!

L'attacco più grosso di questo tipo, con picchi di oltre 300 Gbps, è probabilmente quello del Marzo 2013, nei confronti di spamhaus.

Sono vulnerabile?

Come si fa verificare se il proprio name server si comporta come dovrebbe? La cosa più semplice è dare questi due comandi da un nodo "esterno" (oppure potete scriverci e saremo lieti di farlo per voi):

      dig @<name_server_in_esame> . NS
      dig @<name_server_in_esame> google.com

In entrambi i casi, la risposta deve contenere "status: REFUSED" o "status: SERVFAIL". Altre risposte indicano che il server DNS può essere utlizzato per questo tipo di attacchi.

In alternativa, il sito web di Measurement Factory contiene un buon numero di strumenti per verificare la configurazione dei server DNS.

Come ci si può difendere?

La difesa, almeno per server non windows, è semplice: basta restringere le query ricorsive, quelle cioè di nodi non appartenenti al proprio dominio di competenza, ai propri client.

Analogamente per le risposte alla query dei root name server (fattore di amplificazione di circa 11).

Esempio di configurazione BIND

acl "internal" { localhost; localnets; 192.0.2.0/24; tutte_le_reti_interne; };
options {
           allow-query { any; };
        allow-recursion { internal; };
        allow-query-cache { internal; }; };

Sotto trovate altre informazioni.

 

Il problema di Windows

Il server DNS di Microsoft non permette la ricorsione condizionata, quindi non è possibile permettere la ricorsione per le richieste della rete interna ed impedirla alle richieste dalla rete esterna.

Le soluzioni possibili per arginare i danni causati dai DDoS possono essere le seguenti:

 

Ovviamente bisogna comunicare al server DNS di livello superiore l'indirizzo IP del server esterno. In alternativa, si modifica l'IP del server interno, anche su tutti i client, in modo che continuino a puntare a lui.

Per saperne di più

Anatomy of Recent DNS Reflector Attacks from the Victim and Reflector Point of View  (video non recente).

Per quanto riguarda la configurazione corretta dei server DNS:

Stampa

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy