Gyoker DNS DDOS

A SecuriTeam blog-jan jelent meg egy erdekes iras a gyoker DNS kiszolgalok DDOS tamadasarol.

Rovid kivonat:
2007.02.06-an ket alkalommal is DDOS-oltak a gyoker DNS kiszolgalokat orak hosszaig. Hasonlo tamadas egyszer mar tortent 2002.10.21-en, igy azota a kiszolgalok mar jobban fel voltak keszulve az ilyen
iranyu tamadasokra.
A tamadas Azsiabol es a Csendes Oceani tersegbol eredt.
A hat megtamadott kiszolgalobol kettonel meg nem volt hasznalva az
Anycast (lasd meg az iras utolso oldalat is), igy ezek rosszul viseltek a tamadast (Ez a ketto az Ohio-ban levo USA Vedelmi Miniszterium altal futtatot "G"- gyoker kiszolgalo es a Californiaban levo ICANN altal futtatott "L" gyoker kiszolgalo.)
Tovabbi harom kiszolgalonal sincs meg telepitve az Anycast, de ezeket most nem tamadtak.
A 2002.10 havi tamadasnal 9 kiszolgalo lett elarasztva.
Az Anycast technologia segitsegevel tobb kiszolgalo latszolag ugy viselkedik mintha fizikailag egy helyen lenne, mikozben valojaban akar foldrajzilag szet is lehetnek szorva.
Az F gyoker kiszolgalo peldaul nem kevesebb, mint "42 helyen talalhato meg". (FIXME, jol ertem?).
Ez a modszer remek terheles elosztast es katasztrofak elleni vedelmet nyujt (pl foldrenges tures).

A kiszolgalo uzemeltetoi azonnal eszleltek a helyzetet, savszelessegemelessel es a tamadasra jellemzo mintak alapjan torteno szuressel vedekeztek.
A mostani es a 2006.02 havi tamadas tapasztalata alapjan kiszurtek az 512 byte-nel nagyobb csomagokat. A legtobb normalis csomag 100 byte-nel kisebb, igy a joindulatu lekereseket az intezkedes nem zavarta, mig a tamadas 99.7 %-at felfogta.
A mostani es a tavaly februari tamadasnal is a kiszolgalokhoz kuldott forgalom 1 Gbps volt.
A tamadas Azsiabol, a Csendes Oceani tersegbol es talan Del Korea-bol erkezett valoszinuleg
zombi gepektol, botnet-ekbol. Del Korea a nagyon jo Internet ellatottsaga miatt( sok szelessavu allando kapcsolattal rendelkezo gep) valoszinusitheto. A tamadas foldrajzi eredetetol fuggetlenul az ertelmi szerzo persze mashonnan is "iranyithatta" a gepeket.

Miert nem hasznalta az osszes gyoker kiszolgalo az Anycast technologiat, ha az olyan jo?
Az uzemeltetok tudatosan dontottek igy, hogy ne legyen homogen a beallitasa minden kiszolgalonak,
ami kozos tamadasi feluletet nyujthatna. A heterogen kornyezet nagyban csokkenti egy sikeres tamadas okozta teljes leallas kockazatat.
A masik ok az, hogy a fokozatas bevezetessel a lehetseges hibak csak a rendszer nehany peldanyan
jelentkeznek.
Most, hogy az Anycast bizonyitott, valoszinuleg a tobbi - D, E, G, H, L - gyoker
szerverek is at veszik a modszert.

Hol vannak a gyoker kiszolgalok?
Tortenelmi okokbol 9 darab termeszetesen az Egyesult Allamokban (belolul 4 darab Kaliforniaban), a maradek 4 Japanban, Hollandiaban, Svedorszagban es az Egyesult Kiralysagban.
Bar az Anycast technologia miatt a helyzet jelentosen megvaltozott, mivel tobb gyoker kiszolgalo van az Egyesult Allamokon kivul, mint belul (lasd az F kiszolgalo 42 poziciojat feljebb).
Tobbszaz gyoker kiszolgalot talalhatunk minden foldreszen.

Mit lehet tenni a jovoben a kockazatok csokkentese erdekeben?
Az SSAC harom javaslatot tett a tamadasok ellensulyozasa erdekeben:
- A DNS uzemeltetok alkalmazzak a "Forras IP cim ellenorzes" modszert
- A gyoker kiszolgalo es a TLD-t felugyelo DNS uzemeltetoi fogalmazzanak meg es tartsanak be iranyelveket
- Az ISP-k csak megbizhato helyekrol fogadjanak el kereseket (pl a sajat ugyfeleitol)

Az iras utolso oldalan szoszedet, roviditesek jegyzeke, magyarazat talalhato.

Hozzászólások

Koszi az ismeret terjesztest.Hasznos volt. :)
--
1 leszel vagy 0 élő vagy hulla!

Önmagában az anycast routing sem védi meg a szervereket, legfeljebb szegmentálja a támadást.
Az, hogy nem szórja szét minden üzemeltető a szervereit a világ 1024 pontjára pedig minden bizonnyal azért van, mert nem minden üzemeltetőnek van erre pénze, vagy kedve.
Tipikus példája lehet ennek egy egyetem, vagy egyéb tudományos intézmény, amelyen "rajtaragadt" ez a funkció még az ősidőkből.

Magát a technológiát egyébként sokan használják és nem csak DNS-re.