محققان شرکت Akamai به تازگی با چندین حمله مواجه شدهاند که با سوءاستفاده از فعال بودن قابلیت DNSSEC در دامین به تشدید حملات DDoS منجر میشود.
حملات DDoS روز به روز پیچیدهتر میشوند؛ این پیچیدگی حاصل ترکیب نمودن تکنیکهای حملات مختلف با یکدیگر و سوء استفاده از پروتکلهای جدید میباشد که هر کدام از این حملات نیز نیاز به روشهای پیشگیری متفاوتی دارند.
متخصصان شرکت Akamai اخیرا اقداماتی در زمینه کاهش حملات DDoS علیه یک سازمان انجام دادهاند که بالاترین مقدار ترافیک ارسال شده در آن Gbps 363 و 57 میلیون Packet بود.
با توجه به میزان وسعت این حمله و اینکه تنها یک سازمان توانسته است در برابر این حمله مقاومت کند، این نوع حملات میتوانند همچنان ادامه یابند؛ در این نوع حمله از شش تکنیک مختلف شامل DNS Reflection ، SYN Flood ، UDP Fragment ، PUSH Flood ، TCP Flood ، و UDP Flood استفاده میشود.
طبق گزارش اخیر Akamai، تقریبا 60 درصد از تمامی حملات DDoS که در طول سه ماهه اول سال جاری روی داده است، از نوع Multi-Vector (استفاده از چند تکنیک حمله به صورت همزمان) بوده است. در اکثر این حملات حداقل از 2 روش و تنها در 2 درصد آنها از پنج روش یا بیشتر استفاده شده است.
تکنیک DNS Reflection استفاده شده در این حمله گسترده بدین جهت مورد توجه قرار گرفت که از فعال بودن DNSSEC در دامینها برای تولید Packetهای بزرگتر در پاسخ سرورها به درخواستهای فرستاده شده، استفاده مینمود.
تکنیک DNS Reflection، شامل سوءاستفاده از DNS Resolverهایی میگردد که دارای پیکربندی نادرست بوده و به درخواستهای جعلی نیز پاسخ میدهند. مهاجمان می توانند از طریق تعیین آدرس IP هدف به عنوان آدرس منبع درخواستی، Queryهای DNS را از طریق اینترنت به این سرورها ارسال نمایند؛ در نتیجهی این کار، سرور پاسخ خود را به جای منبع اصلی Query DNS به قربانی ارسال مینماید.
ایجاد این Reflection برایAttackerها از ارزش بالایی برخوردار است، زیرا منبع اصلی ترافیکهای مخرب را پنهان نموده و تاثیر حملات را نیز افزایش میبخشد. در این نوع حمله، Packetهایی که به عنوان پاسخ از سمت DNS سرور به قربانی ارسال میشود نسبت به اندازه استاندارد این Packetها بزرگتر بوده که همین مساله امکان ایجاد ترافیک بیشتری را نسبت به حالات دیگر برای مهاجمان فراهم مینماید.
بهکارگیری Queryها برای اسامی دامنههایی که با DNSSEC پیکربندی شدهاند صرفا به تشدید این حملات میانجامد، زیرا Packetهایی که به منظور پاسخها از طریق DNSSEC ساخته میشوند، از انواع معمولی این Packetها بزرگتر میباشد. علت بزرگتر بودن این Packetها، وجود دادههای بیشتر در آن مانند دادههای مربوط به تایید رمزنگاری(Cryptographic Verification) میباشد.
DNSSEC این امکان را برای Clientها فراهم میکند تا منبع ارسالکننده دادههای DNS را احراز هویت نموده و از درستی دادهها نیز اطمینان یابند؛ این امر تضمین مینماید که پاسخهای ارسالی از طریق DNS در طول مسیر تغییر نکرده و از طریق سرورهای تایید شده و مجاز دامین ارائه شده است.
محققان Akamai اظهار داشتند: در طی مدت اخیر، بسیاری از حملات DDoS Amplification و DNS Reflection را که در آنها از دامینهای پیکربندیشده با DNSSEC سوءاستفاده شده بود، بررسی نموده و آنها را کاهش دادهاند.
لازم به ذکر است که انواع مشابهی از این حملات، که Attackerها از طریق سوءاستفاده از DNSSEC، حملات DDoS Amplification را ایجاد مینمایند در شرکتهای صنعتی بسیاری مشاهده شده است.
Akamai به تازگی راهنماییهایی دربارهی حمله DDoS انجام شده، به موسسه فناوری ماساچوست ارائه کرده است تا با ایجاد آگاهی از افزایش این نوع حملات کاسته شود. معمولا Attackerها در این حملات از DNS Reflection در دو دامنهی cpsc.gov و isc.org که قابلیت DNSSEC در آنها فعال بود، استفاده کرده بودند.
علاوه بر موارد فوق محققان این موسسه عنوان کردند که در ایجاد این حملات، قصوری از سوی مالکان دامنهها رخ نداده است، زیرا آنها متوجه تاثیر این حملات نمیشوند. در واقع مهاجمان، موجی از Queryهای جعلی DNS را به جایی که منبع IP به عنوان MIT Target IP تنظیم شده است، ارسال نموده و بدین ترتیب ازOpen Resolverها سوءاستفاده مینمایند. اکثر این سرورها پاسخ اولیه خود راCache میکنند، بنابراین از فرستادن Queryهای متعدد برای سرورهای تایید شده و مجاز جلوگیری میشود.
متاسفانه DNS تنها پروتکل مورد استفاده برای ایجاد حملات DDoS Amplification نمیباشد. پروتکلهای NTP، CHARGEN و SSDP نیز در چنین حملههایی مورد استفاده قرار گرفته و تا زمانی که سرورها و تجهیزاتی با پیکربندی نامناسب بر روی اینترنت وجود داشته باشند، مهاجمان نیز از این تکنیک استفاده خواهند نمود.
