Přes 170 DNS serverů v České republice bylo zneužito při DDOS útoku

Minulý týden přijal náš tým CSIRT.CZ zprávu od Lotyšského týmu CERT.LV o masivním DDOS útoku na cíl v jejich zemi.

Při tomto útoku bylo využito již delší dobu známého útoku DNS Amplification attack. Při tomto útoku posílá útočník DNS dotazy se zdrojovou IP adresou nastavenou na adresu oběti útoku. Záměrně se přitom ptá na informace, které způsobí, že odpověď serveru DNS bude mnohonásobně větší, než původní dotaz. Tyto informace však nebudou posílány na adresu útočníka, ale na IP adresu oběti, která si o ně ve skutečnosti vůbec nežádala. Takto může útočník s relativně pomalým připojením zahltit internetové připojení i daleko rychleji připojené oběti. Tento útok umožňují špatně nakonfigurované rekurzivní DNS servery, které jsou nakonfigurovány jako otevřené. To znamená, že takovýto DNS server poskytuje služby nejen uživatelům ve své síti, ale v podstatě celému světu.

Schéma útoku DNS Amplification attack, zdroj: Lupa.cz.

Zajímavé je, že se na tomto útoku podílelo i více jak 170 DNS serverů z České republiky, a to i přes to, že CZ.NIC již dříve vydal varování před tímto způsobem konfigurace DNS serverů. My jsme samozřejmě informace poskytnuté Lotyšským týmem zpracovali a předali je dál jednotlivým správcům nevhodně nakonfigurovaných DNS, kteří, jak doufáme, již touto dobou dělají příslušná protiopatření. Obáváme se však, že se může jednat jen o špičku ledovce a takto špatně nakonfigurovaných DNS serverů může být v naší zemi daleko více. Z tohoto důvodu plánujeme provést analýzu současného stavu, abychom měli jasnější představu o rozměrech tohoto rizika.

Pavel Bašta

Autor:

Komentáře (14)

  1. Honza Jaroš říká:

    Nebyly to jen otevřené rekurzivní DNS. Provozuju si tři nameservery pro své domény a na primární, který mám v datacentru u Masterů, šel ten útok taky. Dotazy pouze na moje domény, podle Zabbixe to začalo někdy po půlnoci z pátku na sobotu, příchozí traffic kolem 200kB/s, odchozí 5-6 MB/s. Bohužel tohle nikde nesleduju a server to nijak extra nezatěžovalo, takže mě na to upozornil až dnes ráno ISP. Pak jsem teprve nasadil automatické blacklisty pro adresy, které se dotazovaly víc než bylo obvyklé. :-(

    Během dne jsem pak zahazoval kolem 60MB paketů za hodinu, šlo o několik stovek adres. Většinou šlo o požadavky na záznamy typu „any“ pro doménu druhého řádu, v odpovědi bylo několik DNSSEC klíčů, které to dost nafoukly.

    Čili nejde jen o nesprávně nakonfigurované nameservery, postihnout to může kohokoli…

  2. Honza Jaroš říká:

    …resp. kohokoli provozujícího autoritativní nameservery, abych byl přesnější… :-)

  3. Adam Mikulič říká:

    Mohu jen potvrdit, že pro tento typ útoku se v rostoucí míře používají i autoritativní nameservery, viz. graf provozu autoritativních cz nameserverů http://www.nic.cz/dsc_stats/ dotazy na záznam typu ANY (kolem 3. června – ten týdenní graf odroluje).

  4. Franta říká:

    Honza Jaroš: +1 taky si myslím, že se to týká nejen otevřených rekurzivních serverů.

    Jestliže se dá pomocí jednoho primárního/sekundárního DNS serveru vyrobit z 200 kB/s 5-6 MB/s, znamená to, že na zahlcení něčí gigabitové linky stačí cca 21-25 DNS serverů a 4-5 Mbit/s linka útočníka.

    Má cenu v takové situaci řešit nějaké otevřené rekurzivní servery? Obávám se, že ne a tohle strašení a obviňování je bezpředmětné, protože stejně dobře poslouží ty autoritativní servery, které z principu musí existovat.

    Užitečný by tedy byl spíš návod, jak nastavit rekurzivní i autoritativní servery tak, aby sloužili legitimním uživatelům a zároveň šly co nejméně použít pro útok.

    Plus samozřejmě řešit příčinu – to, že jde posílat pakety s podvrženou zdrojovou adresou.

  5. Franta říká:

    Oprava: 4-5 Mbit/s → 4-5 MB/s (což je ale pořád jen trochu lepší domácí připojení a na věci to nic nemění)

  6. Ondřej Surý říká:

    > Má cenu v takové situaci řešit nějaké otevřené rekurzivní servery?

    Má. Připadá mi to stejné jako se ptát, jestli má smysl zamykat dveře, když mi můžou vlézt do bytu oknem, které předtím vytlučou.

    (Jinak samozřejmě je potřeba řešit obojí.)

  7. ppp říká:

    Nenacházím podobnost pro to vytlučení. Situaci spíš odpovídá stav, kdy okno je otevřené a musí tak i zůstat, aby se obyvatelé neudusili.

  8. Honza Jaroš říká:

    Příměry mi jsou ukradené, problém je v tom, že jen za poslední den a kus jsem zahodil skoro 9GB příchozích požadavků. Ten nápor se čím dál víc zesiluje, v tuto chvíli to do mě smaží už ze šesti (samozřejmě podvržených) adres najednou a poměrně rychle je střídají. A nemám jak to blokovat, mám tam sice nasazené limity, které mi celkem spolehlivě hážou útočníky na blacklist, ale to řeší jen odchozí data. Příchozí data tečou dál. ISP to neřeší, vcelku ani nemá jak, byla by to sledovačka ve stylu Kukaččího vejce přes čertvíkolik providerů a na to se každý vyprdne… :-(

  9. Franta říká:

    Honza Jaroš: asi tě to moc neutěší :-) ale měl by to být jen dočasný problém – útočník dříve či později zjistí, že jeho dotazy zahazuješ a vzdá to, protože z bušení do tvého serveru nic nemá.

  10. Honza Jaroš říká:

    No v to doufám, ale zatím ho to evidentně baví. :-(

  11. martin říká:

    Honza Jaroš: +1 taky si myslím, že se to týká nejen otevřených rekurzivních serverů.

    take jsem to zaznamenal az z grafu, posledni 10-11.6. 21:30 – 5:00 na nasem DNS master. Ale vypada to, ze tahle zabava zacala uz v pulce kvetna. ve spickach mam 4x vic query/sec proti drive. Linku ani srv to neafektuje, je to 2x 1G a „novy“ nehalem …

  12. Honza Jaroš říká:

    A furt to jede, momentálně devatenáct adres najednou… :-/

  13. Honza Jaroš říká:

    Jé, dnes konečně je na portu 53 klid, sem tam běžný dotaz, jinak ticho. Juch! :-)

  14. Jan Pobořil říká:

    Je na cestě nějaké vylepšení protokolu, které by to mělo řešit? (Třeba požadováním TCP paketu jednou za čas pro zařazení na white list.)

Zanechte komentář