Netscout Arbor a observat o creștere semnificativă recentă a
prevalenței atacurilor de pre-etichetare și substituire a etichetelor
DNS (cunoscute și sub denumirea de „Water Torture Attacks” DNS), care
utilizează interogări DNS pentru înregistrări DNS inexistente, pentru a
forța serverele DNS autoritave pentru organizații vizate, atât să
servească interogările DNS nelegitime cât și să genereze un număr mare
de răspunsuri negative NXDOMAIN. Scopul atacatorului în aceste
circumstanțe este de a copleși resursele serverelor DNS autorizate,
astfel facînd resursele online ale organizației vizate, indisponibile
din cauza rezoluției eșuate a numelui. Aceasta este o formă indirectă de
atac DDoS împotriva serviciului critic de rezolvare a numelor DNS, mai
degrabă decât să atace direct aplicațiile și serviciile care rulează pe
rețele vizate; dacă numele DNS pentru resursele online nu pot fi
rezolvate, acestea sunt efectiv indisponibile utilizatorilor legitimi.
Cum se detectează atacul:
În
timp ce acest atac este cel mai probabil orientat către serverele
autoritative pentru victimdomain.com, de asemenea, pune o sarcină
crescută a procesorului pe serverul DNS, forțându-l să inițieze continuu
interogări recursive și consumă, de asemenea, cantități mari de resurse
de memorie.
Simptomele atacului sunt:
• Utilizarea sporită a CPU
• Numărul crescut a răspunsurilor SERVFAIL
• Numărul crescut de interogări de ieşire şi retransmisii
• Latenţă de interogare crescută
• Număr crescut de interogări de la client rejectate (dacă resursele de rezolvare sunt consumate complet).
Orange Moldova CERT recomandă implementarea următoarelor măsuri de protecţie:
• Monitorizarea utilizării resurselor ale serverelor DNS;
•
Toată infrastructura de rețea relevantă, sistem de operare/aplicația/
serviciul și cele mai bune practici curente operaționale ar trebui să
fie implementate de către operatori de server DNS autoritative;
• Activați protecția DDoS pe infrastructura DNS;
• Activaţi senzori de securitate pentru protecţia serverelor DNS.