Juhised DNS-i võimendamiseks, mida arutatakse rakenduses ADV200009

Kokkuvõte

Abstraktsed

19. mail 2020, Microsoft avaldas turvabülletääni ADV200009. See nõuandev kirjeldab DNS-i võimenduse rünnakut, mille tuvastasid Iisraeli teadlased. Rünnak, mida nimetatakse NXNSAttack, võib suunata mis tahes DNS-i serverile, sh Microsoft DNS-ile ja siduda DNS-tsooni jaoks autoriteetsed serverid.

Kui DNS-serverid asuvad ettevõtte sisevõrgus, on Microsoft määranud selle ärakasutamiseks võimalikult väikese riski. Kuid DNS-serverid, mis asuvad Edge ' i võrkudes, on NXNSAttack tundlikud. Windows Server 2016 DNS-i serverid, mis asuvad Edge ' i võrkudes, tuleks üle minna versioonile Windows Server 2016 või uuematele versioonidele, mis toetavad ravivastuse määra piirangut (RRL). RRL vähendab võimenduse efekti, kui sihitud DNS-i Solver päringud teie DNS-i serverites.  

Sümptomid

Kui DNS-i võimendav rünnak on tehtud, võite mõjutatud serveris jälgida ühte või mitut järgmistest sümptomitest.

  • DNS-i DNS-i kasutus on kõrgendatud.

  • DNS-i reageerimisaeg suureneb ja vastused võivad lõppeda.

  • Autentimine server genereerib ootamatu arvu NXDOMAIN vastuseid.

Rünnaku ülevaade

DNS-serverid on alati olnud tundlikud paljude rünnakute vastu. Seetõttu paigutatakse DNS-serverid tavaliselt koormuse tasakaalustuste ja tulemüüride juurde DMZ.

Selle haavatavuse ärakasutamiseks peab ründajal olema mitu DNS-i klienti. Tavaliselt hõlmab see bot, juurdepääsu kümnetele või sajad DNS-i resolverid, mis suudavad rünnakut võimendada, ja spetsialiseeritud ründaja DNS serveri teenus.

Rünnaku võtmeks on spetsiaalselt loodud ründaja DNS-i server, mis on ründajale kuuluva domeeni jaoks autoriteetne. Kui soovite, et rünnak oleks edukas, peavad DNS-i resolverid teadma, kuidas leida ründaja domeeni ja DNS-i server. See kombinatsioon võib tekitada palju suhtlust rekursiivi resolversi ja kannatanu autoriteetse DNS-i serveri vahel. Tulemuseks on DDoS rünnak.

MS DNS-i haavatavus ettevõtte sisevõrgus

Sisemiste ja privaatsete domeenide resolvable ei saa teha juur-ja ülataseme domeeni DNS-i serverite kaudu. Kui järgite parimaid tavasid, pole privaatsete, sisemiste domeenide (nt Active Directory domeenid) jaoks autoriteetsed DNS-serverid Interneti kaudu ligipääsetavad.

Kuigi sisemise domeeni NXNSAttack on tehniliselt võimalik, nõuaks see sisemise võrgu pahatahtlikku kasutajat, kellel on administraatori tasemel juurdepääs, et konfigureerida sisemised DNS-serverid, osutades ründaja domeeni DNS-i serveritele. Sellel kasutajal peab olema ka võimalus luua võrgus pahatahtlik tsoon ja panna spetsiaalne DNS-i server, mis suudab teostada NXNSAttack ettevõtte võrgus. Kasutaja, kes on selle taseme juurdepääsu on üldiselt kasuks Stealth üle teada oma kohalolekut algatades väga nähtav DNS DDoS rünnak.  

Servast ees seisva MS DNS-i haavatavus

DNS-i Resolver Internetis kasutab tundmatute DNS-i domeenide lahendamiseks juur-ja ülataseme domeeni (TIPPDOMEEN) servereid. Ründaja saab kasutada seda avaliku DNS-i süsteemi, et kasutada mis tahes Interneti-ühendusega DNS-i lahendit, et proovida NXNSAttack võimendust Pärast võimenduse vektori avastamist saab seda kasutada osana teenuse keelamise (DDoS) rünnakust mis tahes DNS-i serveris, mis majutab avaliku DNS-i domeeni (ohver domeeni).

Edge ' i DNS-i server, mis toimib Resolveri või edasisaatmisena, saab kasutada rünnakuks, kui soovimatud DNS-päringud, mis pärinevad Internetist, on lubatud. Avaliku juurdepääsu abil saab pahatahtliku DNS-i klient kasutada Solveri üldise võimenduse rünnaku osana.

Domeeni autoriteetsed DNS-serverid peavad lubama soovimatuid sissetulevaid DNS-i liiklust resolvers ' ist, mis teevad rekursiive ja otsinguid juur-ja tippdomeeni DNS-i infrastruktuurist. Vastasel juhul ei saa juurdepääsu domeenile. See põhjustab kõigi avalike domeenide autoriteetsete DNS-serverite võimalikku NXNSAttack ohvriteks. Microsoft DNS-i serverid peavad käitama Windows Server 2016 või uuemat versiooni, et saada RRL tuge.

Lahendus

Selle probleemi lahendamiseks kasutage sobiva serveri tüübi jaoks järgmist meetodit.

Sisevõrgule suunatud MS DNS-i serverid

Selle ärakasutamise oht on madal. Sisemiste DNS-i serverite jälgimine ebatavalist liiklust. Keelake sisemised NXNSAttackers, mis asuvad teie ettevõtte sisevõrgus, kuna need on avastatud.

Serval seisvaid autoriteetsed DNS-serverid

Lubage RRL, mida toetab Windows Server 2016 ja Microsoft DNS-i uuemad versioonid. RRL kasutamine DNS-i resolvers vähendab algset rünnakute võimendamist. RRL kasutamine avalikul domeenil autoriteetse DNS-i serveris vähendab mis tahes võimendust, mis kajastub uuesti DNS-i resolveris. VaikimisiRRL on keelatud. Lisateavet RRL kohta leiate järgmistest artiklitest.

Käivitage SetDNSServerResponseRateLimitingPowerShelli cmdlet-käsk, et lubada RRL vaikeväärtuste abil. Kui RRL lubamine põhjustab õiguspäraseid DNS-i päringuid, kuna neid on liiga tihedalt ahendatud, suurendage vastuse/SECja tõrgete/SEC väärtusi ainult seni, kuni DNS-server vastab varem ebaõnnestunud päringutele. Muud parameetrid võivad ka aidata administraatoritel paremini hallata RRL sätteid. Need sätted hõlmavad RRL erandeid.

Lisateavet leiate järgmistest Microsofti dokumentide artiklist.  

DNS-i logimine ja diagnostika

korduma kippuvad küsimused

Q1: kas käesoleva summeeritud kergendamine kehtib kõigi Windows Serveri versioonide kohta?

A1: Ei. See teave ei kehti Windows Server 2012 või 2012 R2 kohta. Need Windowsi serveri pärand versioonid ei toeta RRL funktsiooni, mis vähendab võimendava efekti, kui sihitud DNS-i Resolver päringud teie DNS-serverid.

K2: mida peaks tegema kliendid, kui neil on DNS-serverid, mis asuvad Edge ' i võrkudes, kus töötab kas Windows Server 2012 või Windows Server 2012 R2?

A2: DNS-serverid, mis asuvad Edge ' i võrkudes, kus töötab kas Windows Server 2012 või Windows Server 2012 R2, tuleks täiendada Windows Server 2016 või uuemate versioonidega, mis toetavad RRL. RRL vähendab võimenduse efekti, kui sihitud DNS-i Solver päringud teie DNS-i serverites.

Q3: Kuidas saan kindlaks teha, kas RRL põhjustab õiguspäraseid DNS-i päringuid ebaõnnestuda?

A3: Kui RRL on konfigureeritud sisselogimise režiimis, teeb DNS-server kõik RRL arvutused. Kuid selle asemel, et võtta ennetavaid toiminguid (nt kukutada või Kärbi vastuseid), logib server selle asemel sisse võimalikud toimingud nii, nagu oleks RRL lubatud, ning jätkab tavapäraste vastuste esitamist.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×