Распределенные атаки типа «отказ в обслуживании» (DDoS) представляют собой серьезную угрозу для способности организации привлекать, удерживать и взаимодействовать с клиентами. Проще говоря, DDoS-атака предназначена для того, чтобы сделать присутствие организации в сети недоступным для легитимных пользователей, подавляя основную инфраструктуру вредоносным трафиком.
Традиционные DDoS-атаки становятся все дешевле и проще в исполнении. Рост Интернета вещей (IoT) и рост облачных вычислений означает, что киберпреступники имеют легкий доступ к большому количеству вычислительной мощности, подключенной к Интернету. Эти бот-сети могут быть назначены для отправки вредоносных запросов на веб-сайт в объемах, превышающих поддерживаемые веб-серверами.
Однако рост дешевых и легкодоступных вычислительных мощностей – не единственный путь развития ландшафта угроз DDoS. Киберпреступники также используют новые инструменты и методы для проведения своих атак. Примером такой техники является NXNSAttack. Эта атака использует свойства рекурсивных серверов доменных имен (DNS) для проведения DDoS-атаки на DNS-сервер жертвы. Если этот DNS-сервер не отстает от надежного Защита от DDoSВы можете быть поражены, оставив сайт организации недоступным для законных пользователей.
Важность инфраструктуры DNS
При использовании Интернета большинство людей не вводят IP-адрес компьютера, к которому они пытаются получить доступ. Вместо этого они вводят доменное имя или URL, например, google.com. Однако эти IP-адреса – это то, что требуется клиентскому компьютеру и маршрутизаторам на пути между исходным и конечным компьютерами, чтобы трафик достигал назначенного пункта назначения.
DNS – это интернет-протокол, который позволяет переводить доменные имена в IP-адреса. Инфраструктура DNS организована в виде иерархии серверов, предназначенных для обработки запросов для данного домена. Это означает, что для запроса URL-адреса определенного веб-сайта могут потребоваться запросы к нескольким DNS-серверам (например, .com, google.com и т. Д.). Чтобы пользователи могли получить доступ к веб-сайту, они должны иметь возможность преобразовать его URL-адрес в IP-адрес сервера, на котором он размещен. Для этого требуется, чтобы каждый DNS-сервер, необходимый для разрешения адреса, был подключен к сети и был доступен для компьютера.
DDoS-атака 2016 года на Дина, Крупный поставщик DNS, он демонстрирует потенциальное влияние DDoS-атаки на инфраструктуру DNS. Во время атаки серверы, на которых размещался управляемый DNS-сервис Dyn, были атакованы парой DDoS-атак из ботнета Mirai. Несмотря на то, что сервис в итоге смог преодолеть атаку, значительный процент Интернета стал недоступен во время атаки, когда службе не удалось разрешить DNS-запросы от законных пользователей.
Система DNS, используемая в DDoS-атаках
DDoS-атаки на DNS-инфраструктуру не являются чем-то новым, как показала DDoS-атака 2016 года на Dyn. Однако связь между DDoS-атаками и службами DNS не всегда совпадает с атакующей и целевой. Некоторые DDoS-атаки предназначены для использования преимуществ служб DNS для усиления воздействия атаки. недавно обнаруженная атака использует иерархическую структуру инфраструктуры DNS. Рекурсивные DNS-серверы предназначены для передачи DNS-запросов авторизованным серверам, расположенным в восходящем направлении, для преобразования доменного имени в IP-адрес. Эти авторизованные серверы также могут делегировать эти полномочия другим DNS-серверам.
Новая атака использует преимущества этой функции для выполнения DDoS-атак. В этой атаке злоумышленник отправит запрос DNS на DNS-сервер, для которого авторизованный DNS-сервер находится под контролем злоумышленника. После получения запроса DNS-сервер злоумышленника даст команду рекурсивному DNS-серверу делегировать эти полномочия длинному списку поддельных DNS-серверов в домене жертвы. Чтобы удовлетворить запрос, рекурсивный DNS-сервер будет запрашивать DNS-сервер жертвы для каждого из этих предполагаемых DNS-серверов. В результате DNS-сервер жертвы получает большой объем трафика от рекурсивного DNS-сервера, что снижает его способность разрешать законные DNS-запросы.
Если DNS-сервер жертвы не может обработать запросы, посетители, пытающиеся получить доступ к сайтам в домене жертвы, не смогут перевести свои URL-адреса в IP-адреса веб-серверов жертвы. В результате веб-сайт жертвы может стать совершенно недоступным, и сотрудники могут потерять доступ к внутренним службам корпоративной интрасети, если доступ к этим службам зависит от корпоративного DNS-сервера.
Защита от DDoS-атак
Веб-присутствие организации жизненно важно для ее способности вести бизнес. Клиенты все чаще предпочитают просматривать и делать покупки в Интернете, а не посещать физические магазины. Кроме того, многие организации переносят некоторые или все свои функции обслуживания клиентов на свой веб-сайт из-за повышенной масштабируемости, которую он обеспечивает.
У киберпреступников есть несколько различных методов, с помощью которых они могут отключить сайт с помощью DDoS-атак. Злоумышленники могут атаковать веб-сайт напрямую, отправляя запросы веб-приложению или ориентируясь на инфраструктуру DNS, на которую веб-сайт опирается для маршрутизации трафика посетителей на их веб-серверы. Поскольку DDoS-атаки становятся проще и дешевле в выполнении, они могут стать еще более распространенными. Обеспечение доступности присутствия компании в сети требует внедрения надежных решений по защите от DDoS, способных выявлять и блокировать различные атаки DDoS.
