Осенний DNS-flooding
 
10.11.2002
Андрей Васильков

Казалось бы, Интернет практически неуязвим — в силу своей распределенности. Вывели из строя один сегмент, работают все остальные. Однако хакерам, организовавшим атаку 21 октября, удалось нащупать самое слабое место Сети — корневые DNS.

Обращаясь по несколько раз в день к своим любимым сайтам, мы редко задумываемся о том, каким образом наш сетевой агент умудряется «выудить» требуемый ресурс из тысяч других. На первый взгляд, все просто: набрали в адресной строке браузера «www.microsoft. com» и попали на главную страницу одной малоизвестной фирмы. Но реально взаимодействие всех компьютеров, подключенных к Интернету, осуществляется с использованием их уникальных IP-адресов, представляющих собой четыре числа, разделенные точками. Когда вы вводите символьный адрес, то сначала посылается запрос на сервер доменных имен — DNS (Domain Name Server) вашего провайдера. На нем хранится информация о соответствии запрашиваемого буквенного имени текущему реальному IP-адресу (в примере выше на день написания статьи он выглядел так: 207.46.197.101). Существует иерархия DNS, объединенная в глобальную систему доменных имен — Domain Name System (тоже DNS в аббревиатуре). Если искомого адреса у ближайшего сервера не оказалось, он посылает запрос вышестоящему и т. д. Правят этой армадой серверов тринадцать главных DNS верхнего уровня (Top Level Domain DNS). Причем десять из них находятся на территории США. Во избежание физического воздействия со стороны террористов информацию о точном географическом нахождении серверов пытаются сделать недоступной для широкой общественности.

Согласитесь, когда все так упорядоченно, жить скучно. Хочется повысить энтропию этой слишком правильной системы. Вот и придумывают разбирающиеся (и не очень) в сетевых протоколах люди различные способы атаки на DNS.

Самый простой вариант — DDoS (Distributed Denial of Service) — распределенная атака, вызывающая у жертвы состояние «отказ в обслуживании». Под этим подразумевают выход из строя атакуемой системы или ее части, при котором та перестает выполнять свои функции. Применительно к нашей теме такое нападение называется DNS flooding. Оно заключается в передаче большого числа некорректных DNS-запросов и приводит к тому, что сервер службы доменных имен становится недоступным для пользователей, так как его ресурсы заняты обработкой этих запросов. Для выявления атаки такого типа необходимо анализировать загрузку сервера и выявлять источники запросов. Однако обеспечить это непросто, о чем косвенно свидетельствует недавний инцидент. 21 октября в 16:45 по местному времени (00:45 22/10/2002 по Москве) произошла мощнейшая DDoS-атака на девять из тринадцати DNS верхнего уровня. Она продолжалась час и прекратилась так же внезапно, как и началась. Зарегистрированная пиковая нагрузка на серверы превышала максимально допустимую почти в сорок раз. ФБР пытается оправдать свою оплошность, называя случившееся «наиболее изощренной и крупномасштабной атакой за всю историю Интернета». Масштабность видна хотя бы по последствиям: семь серверов оказались недоступными, два других работали в «проблесковом» режиме. А вот с заявлениями об изощренности ФБР явно перестаралось. Гордон Джондроу, представитель департамента Национальной безопасности США, посчитал некорректными подобные «восторженные» отклики. Ведь атакующие не использовали каких-либо инновационных или хотя бы просто малоизвестных методик. Ему вторит Марк Цвиллингер, бывший сотрудник министерства юстиции США: «атака на DNS-серверы не принесла ощутимого вреда, но продемонстрировала возможность нанесения серьезного ущерба в будущем». Незначительный ущерб объясняется двумя причинами. Во-первых, малой продолжительностью атаки. Многие пользователи даже не успели ее заметить. Во-вторых, тем, что серверы доменных имен низших ступеней кэшируют большую часть Интернет-адресов и могут какое-то время обходиться без тринадцати корневых DNS. Удивил Стивен Берри, руководитель Центра защиты национальной инфраструктуры ФБР. Он утверждает, что знал об атаке на серверы и сейчас расследует это дело.

Еще одно интересное наблюдение: зная о недостатках структуры Интернета и желая предотвратить последствия возможного кибертерроризма, ICANN в ноябре 2001 года объявила о создании комитета по безопасности DNS. 11 февраля 2002 года на должность главы комитета был назначен Стивен Крокер. В его задачу входило формирование группы специалистов по безопасности из разных стран мира. Он считается одним из компетентнейших экспертов в области глобальных сетей. Об этом говорит хотя бы тот факт, что ранее Крокер участвовал в разработке базовых протоколов ARPANET. Получается, что о проблеме знали и начали активно готовиться к отражению подобной атаки почти год назад (sic!). Однако 21 октября служба DNS оказалась беззащитной.

DDoS-атака относительно проста в реализации и не требует глубоких специальных познаний. По сути, это соревнование типа «чей канал шире». Проигравшая сторона выходит из строя, захлебываясь потоком данных другой. Ясное дело, один «злоумышленник» не в состоянии тягаться с мощным сервером, рассчитанным на одновременное подключение множества пользователей. Но если речь идет о группе атакующих, члены которой задумали «завалить» сервер заранее и договорились о точном времени атаки, то шансы возрастают… теоретически. В реальной жизни подобная операция трудноосуществима. Требуются сотни, если не тысячи одновременных запросов, чтобы попытка вывести из строя сервер закончилась успехом. Собрать cтолько единомышленников — задача трудная. Вот здесь-то и стирается условная грань между областями информационной безопасности: защитой от сетевых атак и антивирусными системами. Ведь никто не говорил, что в указанное время пользователь должен сесть за ПК и начать DDoS-атаку, надеясь, что другие делают то же самое. Достаточно того, что компьютер отправит пару-тройку-много TCP-пакетов, DNS-запросов, etc. по нужному адресу. А он непременно сделает это, если на него предварительно установить троянскую компоненту (наиболее распространенный вариант — руками самого владельца ПК). А уж эта «деревянная лошадка» сделает всю грязную работу без участия хозяина компьютера (и даже без его ведома), активируясь в указанный срок. Троянца можно разослать по электронной почте, внедрить в популярную и часто скачиваемую программу… количество вариантов ограничивается лишь вашей фантазией. Не столь важно, кто запустит у себя этот код, главное, чтобы таких людей оказалось достаточно. Большинство «троянских коней» недоступно эвристическим методам обнаружения, так как их деятельность фактически не отличается от работы download-менеджеров, апдейтеров и прочего сетевого софта. Они только и делают, что посылают пакеты данных на определенный адрес. Чтобы детектировать троян, необходимо четкое совпадение присутствующего в системе кода с сигнатурой из антивирусных баз. А гарантии, что в руки AV-разработчиков зловредный код попадет раньше, чем будет проведена очередная DDoS атака, никакой.

Следует помнить и о том, что серверы доменных имен верхнего уровня могут быть использованы для получения полной информации обо всей зоне, которой принадлежит данный DNS-сервер. Дело в следующем: принципы работы системы доменных имен описаны в RFC 1034/1035. Они включают в себя возможность передачи полной информации о зоне. Механизм необходим для обмена зонной информацией между серверами, однако отсутствие ограничений может быть использовано в незаконных целях: для обнаружения открытых релеев почты, прокси-серверов; выяснения типов используемых серверами операционных систем и иного программного обеспечения с дальнейшим применением известных эксплойтов; сбора других данных о зоне. Также описанная уязвимость сильно облегчает жизнь «злоумышленникам». Не надо сканировать сеть, вся нужная информация уже собрана в одном месте.

Большой поток AXFR-запросов может стать довольно действенным методом проведения DDoS-атаки на сами DNS-серверы. Мы уже знаем, что произойдет при отказе одного из них. Продлись безобразие в позапрошлый понедельник подольше, последствия и суммы ущерба возросли бы многократно.
Некоторые корневые DNS-серверы содержат сотни тысяч записей о серверах в своей зоне ответственности. Сформировав AXFR-запрос к такому DNS-серверу, получить эту информацию может любой пользователь. К счастью, ни один из серверов в доменах com, org, edu, net, mil и gov не позволяет AXFR-запросы. Однако уязвим гораздо более широкий круг доменов: ar, au, bg, cu, cz, ee, eg, es, fi, hu, il, in, it, my, no, pk, se, sg, tr, ua, za и наш родной ru. Между прочим, содержит более 6х105 записей — прекрасный подарок спаммерам!

Поскольку наиболее широко применяемой реализацией службы DNS является BIND (Berkley Internet Name Domain — Берклиевский сервер доменных имен), то в качестве временного решения проблемы советуют использовать механизм ограничения передачи AXFR при помощи опции allow-transfer в его версиях 8 и 9.

Методы защиты от DDoS-нападения разрабатывались давно, но, как правило, безуспешно. Когда атакующих один-два, все просто: закрываем соединение(-ия) и продолжаем работать как прежде. Особенность распределенных атак отказа в обслуживании и заключается в том, что блокировать пришлось бы сотни, тысячи адресов. Вероятность того, что «под раздачу» попадут обычные пользователи, довольно велика, а потому такой метод неэффективен. Описанный выше инцидент подтолкнул разработчиков двух многообещающих систем: Pushback и D-Ward. Совершенно очевидно, что структура Сети в ее нынешнем состоянии принципиально не может обеспечить должную защиту от DDoS. Фил Хаггинс, консультант фирмы @Stake, полагает, что лучшим решением может стать пересмотр структуры. Но пока революции не предвидится, группа из AT&T Labs под руководством эксперта Стива Беллоуина разрабатывает методику перепрограммирования роутеров, позволяющую им опознавать DDoS-атаки и прекращать их. Создан прототип программного средства, получившего название Pushback. Оно способно распознать необычно высокий трафик и блокировать его, передавая при этом информацию об атаке другим роутерам, которые смогут блокировать атаку как можно ближе к ее источнику. Другой вариант предлагают ученые из Калифорнийского университета в Лос-Анджелесе. Они разработали альтернативную технологию, позволяющую остановить DDoS-атаки посредством программы D-Ward. Будучи установлена на шлюз сети, она способна отслеживать не только входящий, но и исходящий трафик в поисках подозрительно высокой активности.

В начале октября не стало Кейта Анкэфера. Этому человеку мы обязаны (в том числе) и тем, что в 1972 году он основал при USC School of Engineering организацию под названием Information Sciences Institute (ISI). Под руководством Анкэфера в этом институте была разработана система доменных имен. Высказываются предположения, что его смерть послужила поводом для проведения DDoS на TLD DNS 21 октября. Неужели таким образом атакующие хотели засвидетельствовать Кейту свое почтение?


Рекомендуемые материалы:

  1. Underground Information Center (www.uinc.ru).
  2. SecurityFocus (online.securityfocus.com/archive/1/296183).
  3. Центр информационной безопасности Украины, портал Bezpeka (www.bezpeka.org).
  4. Антивирусное обозрение «Ежики» от Андрея Каримова (www.proantivirus.com/info).
  5. Портал Security Lab (securitylab.ru).
  6. Статьи сайта Web-Hack (www.cnt.ru/~wh).
  7. Документация с сайта DaGo (dago.org).
  8. Angstroem Society — отечественный ресурс, посвященный информационной безопасности (angstroem.tele-kom.ru).
  9. Геннадий Карпов (gemka@bigfoot.com), «Атака на DNS, или Ночной кошмар сетевого администратора».
  10. Иван Майданский (ivmai@chat.ru), «Каталог распространенных сетевых атак».
  11. Интернет-газета «OXPAHA.RU» (www.oxpaha.ru).
  12. Фролов А. В., Фролов Г. В., «Глобальные сети компьютеров. Практическое введение в Internet, e-mail, FTP, WWW и HTML, программировнаие для Windows Sockets» (Библиотека системного программиста, т.23). — М.: Диалог-МИФИ, 1996. — 228 с.
  13. Семенов Ю. А., «Протоколы и ресурсы Internet». — М.: Радио и связь, 1996. — 320 с.
  14. Джон Д. Рули и др., «Сети Windows NT 4.0». Пер. с англ. — К.: Издательская группа BHV, 1998. — 800 с.


 Циничные записки [ "13-я КОМНАТА" ]
 Новости [ "НОВОСТИ" ]
 МикроФишки [ "НОВОСТИ" ]
 Не болит голова… у Минсвязи [ "НОВОСТИ" ]
 Буря в кармане [ "НОВОСТИ" ]
 Неправильный вендор [ "НОВОСТИ" ]
 ДеFRAGментация [ "ТЕМА НОМЕРА" ]
 Игры разума [ "ТЕМА НОМЕРА" ]
 Соло для математика [ "SOFTТЕРРА LITE" ]
 Апокриф [ "SOFTТЕРРА LITE" ]
 Попутная машина [ "КОМПЬЮFЕРРА LITE" ]
 Моби Дик-2 [ "ОПЫТЫ" ]
 Должен остаться только один… [ "АНАЛИЗЫ" ]
 Осенний DNS-flooding [ "АНАЛИЗЫ" ]
 Северо-восточные хроники [ "АНАЛИЗЫ" ]
 Военные игры [ "КАФЕДРА ВАННАХА" ]
 Как часто и в какие компьютерные игры вы играете? [ "ВОПРОС НЕДЕЛИ" ]
 Компьютеррный гороскоп [ "КНОПКИ" ]
 Высокотехнологичная клубничка [ "ПИСЬМОНОСЕЦ" ]


Все материалы номера