RU
08.11.2019

DNS Water Torture

Netscout Arbor a observat o creștere semnificativă recentă a prevalenței atacurilor de pre-etichetare și substituire a etichetelor DNS (cunoscute și sub denumirea de „Water Torture Attacks” DNS), care utilizează interogări DNS pentru înregistrări DNS inexistente, pentru a forța serverele DNS autoritave pentru organizații vizate, atât să servească interogările DNS nelegitime cât și să genereze un număr mare de răspunsuri negative NXDOMAIN. Scopul atacatorului în aceste circumstanțe este de a copleși resursele serverelor DNS autorizate, astfel facînd resursele online ale organizației vizate, indisponibile din cauza rezoluției eșuate a numelui. Aceasta este o formă indirectă de atac DDoS împotriva serviciului critic de rezolvare a numelor DNS, mai degrabă decât să atace direct aplicațiile și serviciile care rulează pe rețele vizate; dacă numele DNS pentru resursele online nu pot fi rezolvate, acestea sunt efectiv indisponibile utilizatorilor legitimi.

Cum se detectează atacul:
În timp ce acest atac este cel mai probabil orientat către serverele autoritative pentru victimdomain.com, de asemenea, pune o sarcină crescută a procesorului pe serverul DNS, forțându-l să inițieze continuu interogări recursive și consumă, de asemenea, cantități mari de resurse de memorie.

Simptomele atacului sunt:
•    Utilizarea sporită a CPU
•    Numărul crescut a răspunsurilor SERVFAIL
•    Numărul crescut de interogări de ieşire şi retransmisii
•    Latenţă de interogare crescută
•    Număr crescut de interogări de la client rejectate (dacă resursele de rezolvare sunt consumate complet).

Orange Moldova CERT recomandă implementarea următoarelor măsuri de protecţie:
•    Monitorizarea utilizării resurselor ale serverelor DNS;
•    Toată infrastructura de rețea relevantă, sistem de operare/aplicația/ serviciul și cele mai bune practici curente operaționale ar trebui să fie implementate de către operatori de server DNS autoritative;
•    Activați protecția DDoS pe infrastructura DNS;
•    Activaţi senzori de securitate pentru protecţia serverelor DNS.

Buletin informativ

Primeşte ştiri de top direct pe email