DNS Amplification Attack! DDoS khuếch đại từ máy chủ DNS!
01/10/2019Tấn công khuếch đại máy chủ DNS là tấn công DDoS dựa trên một lượng lớn các gói tin mà kẻ tấn công tận dụng máy chủ phân giải DNS để làm quá tải máy chủ. Hệ thống mạng với lượng lớn gói tin được khuếch đại làm cho máy chủ hay hệ thống mạng xung quanh không truy cập được.
1. Tấn công khuếch đại DNS như thế nào?
Tất cả các cuộc tấn công khuếch đại đều khai thác sự chênh lệch về băng thông của kẻ tấn công và tài nguyên của nạn nhân. Khi các gói tin được phóng to qua nhiều request. Trả về lượng lớn các gói phản hồi có thể phá vỡ hạ tầng mạng. Bằng cách gửi những yêu cầu nhỏ và nhận được những gói phản hồi lớn. Kẻ tấn công có thể sử dụng mạng botnet để gửi những yêu cầu như vậy. Đồng thời nhận được cả lợi ích từ việc tấn công cũng như sự ẩn danh.
Một con bot trong tấn công khuếch đại DNS có thể được diễn tả như khi bạn gọi đến nhà hàng và nói “cho tôi mỗi món một phần”. Yêu cầu nhân viên gọi lại đọc toàn bộ những món bạn đã gọi. Khi được yêu cầu cho số điện thoại để gọi lại bạn lại cho số điện thoại của nạn nhân. Nạn nhân nhận được điện thoại từ nhà hàng với lượng lớn thông tin mà họ không yêu cầu.
Tương tự với cách diễn tả trên mỗi con bot gửi yêu cầu đến các máy chủ phân giải tên miền (DNS resolver) với một địa chỉ IP giả mạo. IP giả mạo này là IP thật của một nạn nhân mà kẻ tấn công muốn tấn công. Sau đó nạn nhân nhận được phản hồi từ máy chủ phân giải tên miền. Để tạo được một lượng lớn traffic kẻ tấn công sẽ gửi một lượng các yêu cầu để làm sao nhận được càng nhiều phản hồi từ DNS resolver càng tốt. Kết quả là nạn nhân nhận được sự khuếch đại traffic từ kẻ tấn công và hệ thống mạng
Một ví dụ về tấn công ddos DNS Amplification Attack của họ tắc nghẽn với traffic giả mạo dẫn đến từ chối dịch vụ.
Tấn công khuếch đại máy chủ DNS có thể được chia ra thành 4 bước:
- Kẻ tấn công sử dụng máy đầu cuối gửi gói UDP với IP giả mạo tới DNS resolver. IP giả mạo là IP thật của nạn nhân.
- Mỗi gói tin UDP đều gửi yêu cầu đến DNS resolver. Thường các giá trị gửi đi là ANY để nhận được phản hồi lớn nhất có thể.
- Sau khi nhận được yêu cầu DNS resolver sẽ gửi phản hồi về cho IP bị giả mạo.
- Máy chủ của nạn nhân với IP bị giả mạo sẽ nhận lượng lớn các gói tin phản hồi này. Dẫn đến quá tải máy chủ và hạ tầng mạng và từ chối dịch vụ.
Với chỉ một vài request thì không đủ để đánh sập một hệ thống. Tuy nhiên, khi liên tục gửi nhiều lần các gói tin yêu cầu và DNS resolver vô tình sẽ là máy mà kẻ tấn công. Chúng sẽ lợi dụng để khuếch đại các gói tin phản hồi.
2. Cách giảm thiểu tấn công khuếch đại DNS?
Đối với các cá nhân, công ty chạy website hay dịch vụ các cách giảm thiểu tấn công rất hạn chế. Do lưu lượng truy cập tăng cao hệ thống mạng của máy chủ bị ảnh hưởng. Nhà cung cấp dịch vụ mạng hoặc cung cấp cơ sở hạ tầng mạng cũng có thể không xử lý được lượng dữ liệu này dẫn đến bị quá tải. Do đó các nhà cung cấp dịch vụ sẽ đẩy tất cả traffic đến máy chủ bị tấn công vào hố đen để bảo vệ chính mình và khiến site của các các nhân, công ty này offline.
2.1. Giảm thiểu số lượng open DNS resolvers
Một thành phần thiết yếu trong tấn công bằng khuếch đại DNS là các open DNS resolvers. Bằng cách cấu hình các DNS resolvers một cách cẩu thả. Phát tán ra mạng internet những kẻ tấn công tìm kiếm ra nó. Đồng thời tận dụng để làm ra các cuộc tấn công. Các DNS resolver chỉ nên cung cấp việc phân dải tên miền đến các thiết bị đáng tin cậy. Trong trường hợp các tấn công khuếch đại DNS các DNS resolver trả lời đến hầu hết tất cả các yêu cầu từ mọi nơi trên internet. Hạn chế các DNS resolver và chỉ cho các DNS resolver phản hồi đến các thiết bị đáng tin cậy làm cho các DNS resolver này không còn là phương tiện lý tưởng để thực hiện tấn công nữa.
2.2. Kiểm tra IP nguồn – ngăn chặn các gói tin giả mạo đi ra khỏi mạng
Bởi vì các yêu cầu UDP gửi đi bởi mạng botnet của kẻ tấn công đều phải giả mạo IP nguồn thành IP của nạn nhân. Một giải pháp then chốt để giảm tính hiệu quả của việc tấn công khuếch đại bằng giao thức UDP là các nhà cung cấp dịch vụ mạng (ISP) lọc và loại bỏ các gói tin đi ra với IP giả mạo. Nếu gói tin đi ra khỏi mạng với IP nguồn khác với IP trong mạng đó thì ISP sẽ loại bỏ các gói tin này và gần như các gói tin giả mạo sẽ được loại bỏ.
