Infrastructura globală DNS oferă funcția critică de a mapa aparent seturi aleatoare de numere în adrese IP (cum ar fi 1.1.1.1) unui nume pe care un consumator pe Internet îl poate recunoaște (cum ar fi www.myfavoritestore.com). Pentru a scala la nivel global, sistemul DNS a fost conceput că o rețea de referință pe mai multe niveluri care ar permite oricărui utilizator de pe Internet să interogheze un set de servere care vor găsi în mod iterativ unde este proprietatea unui anumit domeniu și vor primi numele la adresa IP cartografiere din acea locație. Pentru a realiza acest lucru, acesta este alcătuit din servere rădăcină care controlează domenii de nivel superior precum .com, .gov și .org, domenii globale de nivel superior (TLD) care controlează domenii regionale precum .br, .fr și .uk, serverele autoritare controlând domenii specifice precum myfavoritestore.com și un grup foarte mare de rezolvatori recursivi la care se conectează sistemele utilizatorilor finali. O interogare de la un utilizator pentru un nume de domeniu va fi trimisă unui resolver recursiv și că rezolvatorul va funcționa cu root, GTLD și niveluri diferite de servere autoritare pentru a urmări serverul autoritar DNS responsabil pentru domeniul din care ar primi un răspuns DNS. Acesta este un nivel foarte ridicat și o reprezentare simplificată a modului cel mai obișnuit de utilizare a DNS.
Există o serie de considerente de securitate care trebuiesc luate în considerare în raport cu DNS. Atacurile DDoS reprezintă o amenințare majoră la adresa disponibilității rețelei DNS. Atacurile DDoS împotriva serverelor DNS recursive pot închide rezoluția DNS regională pentru o rețea (cum ar fi un ISP sau un furnizor de modem prin cablu) în cazul în care se întâmplă acest lucru, niciunul dintre utilizatorii lor nu va putea rezolva deloc numele de domeniu.
Atacurile DDoS împotriva domeniilor autoritare pot închide rezoluția DNS pentru un anumit nume de domeniu (cum ar fi www.myfavoritestore.com) sau un grup de domenii. Recentul atac asupra lui Dyn este un exemplu de acest tip de amenințare.
Este foarte recomandat ca operatorii DNS să ia măsuri pentru a se proteja împotriva atacurilor DDoS. Următoarea diagramă ilustrează numărul de evenimente care vizează fie portul TCP 53, fie portul UDP 53 de la începutul anului (serverele DNS pot asculta pe portul TCP 53 precum și pe portul UDP 53). Datele provin de la sistemele Arbor SP desfășurate în întreaga lume și sunt furnizate în două săptămâni. De exemplu, au fost înregistrate 6.490 evenimente care vizează TCP / 53 sau UDP / 53 între 4 și 17 ianuarie. 9.300 de evenimente 18-18 ianuarie și așa mai departe:
În total, peste 337.000 de astfel de evenimente de la începutul anului, cu o media de peste 8.000 pe săptămână.
Implementarea inițială a DNS a fost construită pe baza implicit de încredere în majoritatea componentelor. Resoluționarii recursivi ar avea încredere în utilizatorii conectați la acesta. Root, GTLD și serverele autoritare ar avea încredere în interogările trimise acestora, iar conținutul interogărilor ar avea încredere în cea mai mare parte. Această încredere conduce la o serie de probleme de integritate și disponibilitate. Rezolvatorii DNS sunt adesea folosiți ca puncte de reflexie / amplificare pentru atacurile DDoS din cauza acestui tip de încredere. Atacatorii spionează adresele IP victime în trimiterea interogărilor DNS pentru a deschide rezolvatori, astfel încât răspunsul, care poate fi de 25-50x dimensiunea interogării originale, este trimis la serverul victimă. Statisticile de la https://dnsscan.shadowserver.org/ din 4 iulie arată că pe Internet erau aproximativ 9,7 milioane de servere recursive deschise. Încrederea în conținutul interogărilor DNS permite atât de mult amplificarea, după cum s-a explicat anterior, cât și capacitatea atacatorilor de a trimite atacuri DDoS formate dintr-un mare număr de interogări de tip garbage, cum ar fi www.123456789myfavoritestore.com, către serverele autoritare.
Comentarii