[Dr.WoW] [No.16] Ataque de inundación y defensa DNS

Pubilicado 2019-1-22 11:38:54 38 0 0 0

Antes de pasar a los ataques de la capa de aplicación, echemos un vistazo a algunos casos de ataques reales.

En la tarde del 19 de mayo de 2009, los servicios de nombres de dominio recursivos en seis provincias de China se vieron comprometidos debido a solicitudes de DNS excesivas, y los servicios de nombres de dominio en otras provincias también se interrumpieron, lo que causó un corte de la red durante mucho tiempo.

 

Vamos a reproducir el ataque. En la tarde del 19 de mayo, algunos atacantes atacaron el servidor DNS (DNSPod) que proporcionaba el servicio DNS para servidores privados de otros sitios web de juegos. El tráfico de ataque superó los 10 Gbit / s, lo que provocó la caída de DNSPod. Sin embargo, DNSPod también proporcionó servicios de DNS para los servidores del reproductor Storm.

 

El jugador Storm tiene un proceso que se inicia automáticamente durante el inicio de los clientes y se conecta automáticamente a los servidores Storm para descargar anuncios o actualizaciones de software. Después de que DNSPod se bloqueó, los nombres de dominio de los servidores Storm no pudieron resolverse, pero el proceso del reproductor Storm intentó conectarse automáticamente a los servidores. Como resultado, los clientes de Storm se convirtieron accidentalmente en zombies que enviaban continuamente solicitudes de DNS a servidores DNS locales. El tráfico de DNS superó los 30 Gbit / s y causó la inundación de DNS.

 

Luego, la policía comenzó a investigar el ataque y detu**** los atacantes el 29 de mayo. La investigación mostró que los atacantes eran operadores de algunos servidores de juegos privados. Los atacantes habían alquilado servidores para atacar a otros servidores de juegos privados o sitios web para obtener ganancias ilegales.

 

Este caso de ataque demuestra los graves impactos de los ataques de capa de aplicación. Estos ataques interrumpen nuestras vidas y deben ser prevenidos. Ahora hablemos del ataque y defensa de la inundación del DNS

 

1 Mecanismos de ataque

Empecemos por el mecanismo del protocolo DNS. Cuando navegamos por Internet, ingresamos nombres de dominio de los sitios web que queremos visitar. Los nombres de dominio se resuelven en direcciones IP por los servidores DNS. Como se muestra en la Figura 1-1, cuando visitemos www.huawei.com , el cliente enviará una solicitud de DNS al servidor DNS local. Si el servidor DNS local almacena la asignación entre el nombre de dominio y la dirección IP, envía la dirección IP al cliente.

 

Si el servidor DNS local no puede encontrar la dirección IP, el servidor enviará una solicitud al servidor DNS de nivel superior. Una vez que el servidor DNS de nivel superior encuentra la dirección IP, envía la dirección IP al servidor DNS local, que a su vez, envía la dirección IP al cliente. Para reducir el tráfico DNS en Internet, el servidor DNS local almacena en caché las asignaciones de direcciones IP de nombre de dominio para que el servidor DNS local no necesite solicitar servidores DNS de nivel superior para cumplir con las solicitudes de los hosts.

 

Figura 1-1 proceso de DNS

012037tt99s8ttabx11k8g.png?image.png

La inundación de DNS es enviar a un servidor DNS una gran cantidad de solicitudes de direcciones IP de nombres de dominio que no existen para bloquear el servidor DNS y hacer que no pueda manejar solicitudes de DNS legítimas. En el caso de ataque mencionado anteriormente, el servidor DNS (DNSPod) se bloqueó y no pudo resolver los nombres de dominio de los servidores Storm, pero decenas de miles de clientes Storm enviaron continuamente solicitudes de DNS a los servidores DNS locales, lo que causó la inundación de DNS.

2 Medidas de defensa

 

DNS soporta TCP y UDP. Normalmente, se usa UDP porque el protocolo sin conexión es rápido. UDP también tiene una sobrecarga menor que TCP, lo que reduce el consumo de recursos en los servidores DNS.

 

Sin embargo, en algunos casos, debe configurar los servidores DNS para indicar a los clientes que usen TCP para enviar solicitudes. En esta situación, cuando el servidor DNS recibe una solicitud de un cliente, el servidor responde con un mensaje con el indicador TC establecido en 1, lo que indica que el cliente debe usar TCP para enviar la solicitud.

 

Los firewalls pueden utilizar este mecanismo para verificar si la fuente de las solicitudes de DNS es real para evitar ataques de inundación de DNS.

 

Como se muestra en la Figura 1-2, el firewall recopila estadísticas sobre las solicitudes de DNS. Si el número de solicitudes de DNS destinadas a un destino alcanza el umbral preestablecido durante un período de tiempo específico, se activa la autenticación de origen de DNS.

 

Una vez habilitada la autenticación de la fuente DNS, el firewall responde a las solicitudes de DNS en nombre del servidor DNS, con el indicador TC de respuestas DNS configurado en 1. Este indicador indica al cliente que use TCP para enviar las solicitudes DNS. Si el firewall no recibe una solicitud TCP DNS del cliente, el firewall considera que el cliente es falso. Si el firewall recibe una solicitud TCP DNS, el firewall considera que el cliente es real. Luego, el firewall enumera la dirección de origen del cliente y considera que todos los paquetes del cliente son legítimos hasta que caduque la entrada de la lista en blanco.

 

Figura 1-2 autenticación de fuente DNS

 

012050as6gs6d911sggt22.png?image.png

Veamos el proceso detallado a través de las siguientes capturas de pantalla de captura de paquetes.

 

1. El cliente utiliza UDP para enviar una solicitud de DNS, como se muestra en la siguiente figura.

 

012105s31ie0e95a991tti.png?image.png

2.          El firewall responde a la solicitud de DNS en nombre del servidor DNS, con el indicador TC de la respuesta de DNS establecido en 1, como se muestra en la siguiente figura. Este indicador indica al cliente que use TCP para enviar las solicitudes de DNS.

 

012124dzmmlem202peeeie.png?image.png

 3. Después de recibir la respuesta de DNS, el cliente usa TCP para enviar la solicitud de DNS como lo indica el firewall, como se muestra en la siguiente figura.

 

012144lojom2j7jzqpxmmj.png?image.png

Sin embargo, la autenticación de origen DNS no es una solución única en el mundo real porque no todos los clientes pueden enviar solicitudes de TCP TCP. Si un cliente no puede enviar solicitudes TCP DNS, no se pueden atender las solicitudes del cliente, interrumpiendo los servicios normales.

3 Comandos

 

La Tabla 1-1 enumera, por ejemplo, los comandos de configuración de la tasa de defensa contra ataques por inundación de DNS en USG9500 V300R001.

 

Tabla 1-1 Comandos de defensa de ataque de inundación de DNS

 

 

Funcion

Comando

Habilitar la defensa de ataque de inundación de DNS.

firewall defend dns-flood enable

Configure los parámetros de defensa de ataque de inundación de DNS.

firewall defend dns-flood interface { interface-type interface-number | all }   [ alert-rate alert-rate-number ] [ max-rate max-rate-number ]

 

Para ver la lista de las publicaciones de Dr. WoW haga click aqui.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba