В связи с ростом числа мощных DDoS-атак, использующих DNS для усиления мусорного трафика, консультативный комитет ICANN по безопасности и стабильности (SSAC) опубликовал информационный бюллетень, посвященный актуальной угрозе. Приведенные в этом документе рекомендации адресованы операторам сетей, DNS-сервисов, а также самому регулятору адресного пространства Интернета как лицу, ответственному за повышение эффективности общих мер против злоупотреблений и вовлечение всех заинтересованных сторон в процесс решения острой проблемы.

Как показывает статистика, за последний год количество попыток усиления DDoS-трафика путем эксплуатации широко используемых сетевых протоколов, таких как SNMP, DNS, а в последнее время и NTP, резко увеличилось. Основными особенностями таких платформ, играющих на руку злоумышленникам, являются возможность подмены IP источника запросов, а также получения ответов, многократно превышающих запрос по объему. DDoS-атака с использованием «плечевых» устройств, отвечающих на запросы атакующего мощным потоком, направленным на указанный им IP-адрес, способна создать значительную перегрузку по трафику и эффективно сокрушить мишень.

В случае с DNS речь идет об усилении в разы и даже в десятки раз на каждом устройстве-посреднике, коим к тому же является производительный сервер, обладающий большой пропускной способностью. Как уже неоднократно отмечалось, в качестве «плеча» в таких DDoS используются открытые резолверы — кэширующие DNS-серверы, способные в силу своей конфигурации принимать запросы не только от собственных клиентов, но и от любого интернет-пользователя. Если таких посредников много, совокупная мощность DDoS-трафика может составить десятки и сотни Гб/с. На настоящий момент рекордсменом по мощности для DDoS с DNS-плечом является прошлогодняя атака против антиспамерской организации Spamhaus; в ходе этого инцидента с участием свыше 30 тыс. резолверов был зафиксирован пик в 300 Гб/с.

Проблема подверженных абьюзам DNS-резолверов существует уже более 10 лет, однако рост числа мощных DDoS с участием таких посредников обострил ее до опасных размеров. К сожалению, несмотря на все усилия экспертов и активистов, количество таких устройств в Интернете все еще велико: на 27 октября 2013 года в базе Open Resolver Project числилось 32 млн активных резолверов, из них 28 млн, по мнению участников проекта, составляют значительную угрозу. SSAC ICANN призывает операторов уязвимых DNS-сервисов принять экстренные меры по ограничению доступа, блокировать поток запросов, нацеленных на амплификацию трафика, а также игнорировать обращения к доменам, уже идентифицированные как часть DrDoS (атаки с усилением).

Во избежание подмены источника DNS-запросов SSAC рекомендует операторам сетей придерживаться практики, предложенной в меморандуме BCP-38 Сетевой рабочей группы IETF. В этом документе, опубликованном в мае 2000 года, подробно описана реализация входного фильтра, который можно установить на граничном роутере или защитном экране. Такой фильтр будет исправно отсеивать пакеты с поддельным адресом отправителя и поможет предотвратить атаки на сторонние мишени.

Категории: DoS-атаки, Главное, Кибероборона