تشدید حملات DDoS در دامنه‌های با قابلیت DNSSEC

0
461
DNSSEC حملات DDoS

محققان شرکت Akamai به تازگی با چندین حمله مواجه شده‌اند که با سوء‌استفاده از فعال بودن قابلیت DNSSEC در دامین به تشدید حملات DDoS منجر می‌شود.

حملات DDoS روز به روز پیچیده‌تر می‌شوند؛ این پیچیدگی حاصل ترکیب نمودن تکنیک‌های حملات مختلف با یکدیگر و سوء استفاده از پروتکل‌های جدید می‌باشد که هر کدام از این حملات نیز نیاز به روش‌های پیشگیری متفاوتی دارند.

متخصصان شرکت Akamai اخیرا اقداماتی در زمینه کاهش حملات DDoS علیه یک سازمان‌ انجام داده‌اند که بالاترین مقدار ترافیک ارسال شده در آن Gbps 363 و ۵۷ میلیون Packet بود.

با توجه به میزان وسعت این حمله و اینکه تنها یک سازمان توانسته است در برابر این حمله مقاومت کند، این نوع حملات می‌توانند همچنان ادامه یابند؛ در این نوع حمله از شش تکنیک مختلف شامل DNS Reflection ، SYN Flood ، UDP Fragment ، PUSH Flood ، TCP Flood ، و UDP Flood استفاده می‌شود.

طبق گزارش اخیر Akamai، تقریبا ۶۰ درصد از تمامی حملات DDoS که در طول سه ماهه اول سال جاری روی داده است، از نوع Multi-Vector (استفاده از چند تکنیک حمله به صورت همزمان) بوده‌ است. در اکثر این حملات حداقل از ۲ روش و تنها در ۲ درصد آنها از پنج روش یا بیشتر استفاده شده است.

تکنیک DNS Reflection استفاده شده در این حمله گسترده بدین جهت مورد توجه قرار گرفت که از فعال بودن DNSSEC در دامین‌ها برای تولید Packet‌های بزرگ‌تر در پاسخ سرور‌ها به درخواست‌های فرستاده شده، استفاده می‌نمود.

تکنیک DNS Reflection، شامل سوءاستفاده از DNS Resolverهایی می‌گردد که دارای پیکر‌بندی نادرست بوده و به درخواست‌های جعلی نیز پاسخ می‌دهند. مهاجمان می توانند از طریق تعیین آدرس IP هدف به عنوان آدرس منبع درخواستی، Queryهای DNS را از طریق اینترنت به این سرورها ارسال نمایند؛ در نتیجه‌ی این کار، سرور پاسخ خود را به جای منبع اصلی Query DNS به قربانی ارسال می‌نماید.

ایجاد این Reflection برایAttackerها از ارزش بالایی برخوردار است، زیرا منبع اصلی ترافیک‌های مخرب را پنهان نموده و تاثیر حملات را نیز افزایش می‌بخشد. در این نوع حمله، Packet‌هایی که به عنوان پاسخ از سمت DNS سرور به قربانی ارسال می‌شود نسبت به اندازه استاندارد این Packet‌ها بزرگتر بوده که همین مساله امکان ایجاد ترافیک بیشتری را نسبت به حالات دیگر برای مهاجمان فراهم می‌نماید.

به‌کارگیری Queryها برای اسامی دامنه‌هایی که با DNSSEC پیکربندی شده‌اند صرفا به تشدید این حملات می‌انجامد، زیرا Packet‌هایی که به منظور پاسخ‌ها از طریق DNSSEC ساخته می‌شوند، از انواع معمولی این Packet‌ها بزرگتر می‌باشد. علت بزرگتر بودن این Packet‌ها، وجود داده‌های بیشتر در آن مانند داده‌های مربوط به تایید رمزنگاری(Cryptographic Verification) می‌باشد.

DNSSEC این امکان را برای Clientها فراهم می‌کند تا منبع ارسال‌کننده داده‌های DNS را احراز هویت نموده و از درستی داده‌ها نیز اطمینان یابند؛ این امر تضمین می‌نماید که پاسخ‌های ارسالی از طریق DNS در طول مسیر تغییر نکرده و از طریق سرورهای تایید شده و مجاز دامین ارائه شده‌ است.

محققان Akamai اظهار داشتند: در طی مدت اخیر، بسیاری از حملات DDoS Amplification و DNS Reflection را که در آنها از دامین‌های پیکربندی‌شده با DNSSEC سوء‌استفاده شده بود، بررسی نموده و آنها را کاهش داده‌‌اند.

لازم به ذکر است که انواع مشابهی از این حملات، که Attacker‌ها از طریق سوء‌استفاده از DNSSEC، حملات DDoS Amplification را ایجاد می‌نمایند در شرکت‌های صنعتی بسیاری مشاهده شده است.

Akamai به تازگی راهنمایی‌هایی درباره‌ی حمله DDoS انجام شده، به موسسه فناوری ماساچوست ارائه کرده است تا با ایجاد آگاهی از افزایش این نوع حملات کاسته شود. معمولا Attacker‌ها در این حملات از DNS Reflection در دو دامنه‌ی cpsc.gov و isc.org که قابلیت DNSSEC در آن‌ها فعال بود، استفاده کرده بودند.

علاوه بر موارد فوق محققان این موسسه عنوان کردند که در ایجاد این حملات، قصوری از سوی مالکان دامنه‌ها رخ نداده است، زیرا آنها متوجه تاثیر این حملات نمی‌شوند. در ‌واقع مهاجمان، موجی از Queryهای جعلی DNS را به جایی که منبع IP به عنوان MIT Target IP تنظیم شده است، ارسال نموده و بدین ترتیب ازOpen Resolverها سوءاستفاده می‌نمایند. اکثر این سرورها پاسخ اولیه خود راCache  می‌کنند، بنابراین از فرستادن Queryهای متعدد برای سرورهای تایید شده و مجاز جلوگیری می‌شود.

متاسفانه DNS تنها پروتکل مورد استفاده برای ایجاد حملات DDoS Amplification نمی‌باشد. پروتکل‌‌های NTP، CHARGEN و SSDP نیز در چنین حمله‌هایی مورد استفاده قرار گرفته و تا زمانی که سرورها و تجهیزاتی با پیکربندی نامناسب بر روی اینترنت وجود داشته باشند، مهاجمان نیز از این تکنیک استفاده خواهند نمود.

بدون دیدگاه

دیدگاهتان را بنویسید

*