CDN-провайдер Akamai предупреждает о росте числа DDoS-атак с DNS-плечом, использующих возможности защищенного протокола DNSSEC. Чтобы раздуть мусорный трафик, злоумышленники запрашивают домен, в котором введена соответствующая поддержка. Ответ DNS-сервера (резолвера) в этом случае может быть весьма объемным, так как, согласно спецификациям DNSSEC, он должен содержать не только адрес требуемого сайта, но также подтверждение, что ответ верифицирован. С ноября прошлого года Akamai обнаружила и отразила более 400 DrDoS, использующих DNSSEC.

Напомним, DNSSEC представляет собой набор расширений для DNS, призванных повысить безопасность этого протокола, жизненно важного для Интернета. Он работает на основе цифровых подписей, выстраивая длинную цепочку доверия, и обеспечивает, таким образом, защиту от подмены DNS-адреса при разрешении доменных имен. К сожалению, этот стандарт, как и многие другие полезные нововведения, не застрахован от злоупотреблений.

По свидетельству Akamai, наблюдаемые ею DDoS, как и прочие атаки с DNS-плечом, используют в качестве посредников открытые DNS-резолверы. Чтобы направить мусорный поток на мишень, злоумышленники подменяют IP-адрес источника запроса. В данном случае они запрашивают в основном домены зоны .gov, для которых действующие правовые нормы США предусматривают обязательную поддержку DNSSEC.

Ввиду специфики DNSSEC размеры ответов DNS-резолверов, отдаваемых на атакуемый сайт, в разы превышают стандартные 512 байт. По данным Akamai, коэффициент усиления при этом может достичь 8; если подневольных резолверов много, они создадут весьма внушительный поток, способный положить среднестатистический сайт. Максимальная мощность DNSSEC-атак, зафиксированная экспертами на настоящий момент, составила 123,5 Гбит/с.

Расследование, проведенное Akamai, показало высокую вероятность того, что злоумышленники воспользовались услугами хорошо известного теневого сайта, располагающего собственными VPS-серверами, армией открытых прокси, классическим ботнетом и другими возможностями для проведения разнообразных DDoS.

Согласно статистике компании, больше прочих от DNSSEC-атак страдали представители игровой индустрии, на долю которых за истекший период пришлось более половины инцидентов.

Категории: DoS-атаки, Аналитика, Главное