Обобщена информация

Абстрактни

На 19 май 2020 г., Microsoft издаде консултативен ADV200009за сигурност. В този консултативен списък се описват атаките чрез усилване на DNS, което е идентифицирано от израелски изследователи. Атаката, известна като NXNSAttack, може да бъде насочена към всеки DNS сървър, включително Microsoft DNS и сървъри за ОБВЪРЗВАне, които са достоверни за DNS зона.

За DNS сървъри, които се намират в корпоративни интранет, Microsoft оценява риска от това да се използва като нисък. Но DNS сървърите, които се намират в Edge мрежи, са уязвими за NXNSAttack. Сървърните DNS сървъри за предварително Windows Server 2016, които се намират в Edge мрежи, трябва да бъдат надстроени до Windows Server 2016 или по-нови версии, които поддържат ограничението за честота на отговор (RRL). RRL намалява ефекта на усилване при заявки за целеви DNS преобразувател на вашите DNS сървъри.  

Симптоми

Когато се направи атака с усилване на DNS, може да наблюдавате един или повече от следните симптоми на засегнат сървър:

  • Използваната CPU за DNS е повишена.

  • DNS времето за реагиране е увеличено и отговорите могат да спрат.

  • Неочакван брой отговори на NXDOMAIN са генерирани от сървъра за удостоверяване.

Общ преглед на атаките

DNS сървърите винаги са били уязвими по отношение на масив от атаки. Поради тази причина DNS сървърите обикновено се поставят зад балансиране на натоварването и защитни стени в DMZ.

За да се възползва от тази уязвимост, атакуващият би трябвало да има множество DNS клиенти. Обикновено това включва ботове за достъп до дузини или стотици DNS resolvers, които са способни да разширят атаките и специализирана услуга за DNS сървъра за хакер.

Ключът към атака е специално вградения DNS сървър на хакер, който е авторитетен за домейн, който атакуващият е собственик. За да бъде успешна атаката, DNS реsolvers трябва да знаете как да достигнете до домейна и DNS сървъра на атакуващия. Тази комбинация може да генерира много комуникация между рекурсивните регенерирания и авторитетния DNS сървър на пострадалия. Резултатът е DDoS атака.

Уязвимост за MS DNS в корпоративна интранет

Вътрешните, частните домейни не могат да бъдат разрешими чрез главни съвети и DNS сървъри от най-високо ниво. Когато следвате най-добри практики, DNS сървърите, които са достоверни за частни вътрешни домейни, като например домейни на Active Directory, не са достъпни от интернет.

Макар че един NXNSAttack на вътрешен домейн от вътрешната мрежа е технически възможен, той би изисквал злонамерен потребител във вътрешната мрежа, който има достъп на ниво администратор за конфигуриране на вътрешни DNS сървъри, за да сочи към DNS сървърите в домейна на атакуващия. Този потребител трябва също да може да създаде злонамерена зона в мрежата и да постави специален DNS сървър, който е в състояние да извършва NXNSAttack в корпоративната мрежа. Потребител, който има това ниво на достъп, обикновено ще благоприятства стелт за обявяването на тяхното присъствие, като инициира силно видимо нападение на DNS DDoS.  

Уязвимост за изправен към MS DNS

DNS Преобразувателят в интернет използва основните съвети и сървърите на домейни от най-високо ниво за разрешаване на неизвестни DNS домейни. Атакуващият може да използва тази обществена DNS система, за да използва DNS преобразувател, насочен към интернет, за да изпробва NXNSAttack усилване. След като бъде открит усилващ вектор, той може да се използва като част от атаките на отказ на услуга (DDoS) срещу всеки DNS сървър, който подслонява публичен DNS домейн (домейна на жертвата).

Edge DNS сървър, който действа като преобразувател или спедитор, може да се използва като усилващ вектор за атаките, ако са позволени неочаквани входящи DNS заявки, които произлизат от интернет. Публичен достъп позволява на злонамерен DNS клиент да използва преобразувателя като част от цялостната атака на усилване.

Авторитетните DNS сървъри за публични домейни трябва да разрешат неочаквани входящи DNS трафик от реsolvers, които правят рекурсивни справки от основните съвети и DNS инфраструктурата на TLD. В противен случай достъпът до домейна е неуспешен. Това води до това всички публични DNS сървъри на домейни да са възможни жертви на NXNSAttack. Edge-облицовъчните Microsoft DNS servers трябва да работят с Windows Server 2016 или по-нова версия, за да получат поддръжка на RRL.

Решение

За да отстраните този проблем, използвайте следния метод за подходящия тип сървър.

За интранет-изправени MS DNS сървъри

Рискът от този подвиг е малък. Наблюдавайте вътрешните DNS сървъри за необичаен трафик. Забранете вътрешните NXNSAttackers, които се намират във фирмения ви интранет, тъй като са открити.

За достоверни DNS сървъри с периферен ръб

Разрешете RRL, който се поддържа от Windows Server 2016 и по-нови версии на Microsoft DNS. Използването на RRL за DNS resolvers намалява началното усилване на атаките. Използването на RRL на авторитетен DNS сървър за публични домейни намалява всяко усилване, което се отразява обратно към DNS преобразувателя. По подразбиранеRRL е забранена. За повече информация относно RRL вижте следните статии:

Изпълнете кратката команда на PowerShell на SetDNSServerResponseRateLimiting, за да разрешите RRL с помощта на стойности по подразбиране. Ако разрешаването на RRL води до неуспешно законна заявка за DNS, защото те се притискат твърде плътно, постепенно увеличаване на стойностите за параметрите на отговора/секи грешки/сек само докато DNS сървърът не отговори на по-рано неуспешни заявки. Други параметри може също да помогнат на администраторите да управляват по-добре настройките на RRL. Тези настройки включват изключения за RRL.

За повече информация вижте статията по-долу:  

DNS регистриране и диагностика

Често задавани въпроси

Q1: намалява ли смекчаването, което е обобщено тук, към всички версии на Windows Server?

A1: Не. Тази информация не се отнася за Windows Server 2012 или 2012 R2. Тези наследени версии на Windows Server не поддържат функцията RRL, която намалява ефекта на усилване при заявки за целево DNS име на вашите DNS сървъри.

Q2: Какво трябва да правят клиентите, ако имат DNS сървъри, които се намират в Edge мрежите, на които се изпълнява Windows Server 2012 или Windows Server 2012 R2?

A2: DNS сървърите, които се намират в Edge мрежите, на които се изпълнява Windows Server 2012 или Windows Server 2012 R2, трябва да бъдат надстроени до Windows Server 2016 или по-нови версии, които поддържат RRL. RRL намалява ефекта на усилване при заявки за целеви DNS преобразувател на вашите DNS сървъри.

В3: Как мога да разбера дали RRL води до неуспешно законна заявка за DNS?

A3: Ако RRL е конфигуриран за режим на влизане , DNS сървърът прави всички изчисления на RRL. Вместо да предприемате превантивни действия (например отпадане или отрязване на отговори), сървърът вместо това записва потенциалните действия, ако RRL са разрешени, и след това продължава да предоставя обичайните отговори.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Доколко сте доволни от качеството на превода?
Какво е повлияло на вашия потребителски опит?

Благодарим ви за обратната връзка!

×