דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום

מופשט

ב-19 במאי 2020, מיקרוסופט פרסמה מדריך אבטחה ADV200009. עלון יידוע זה מתאר התקפת הגברה של DNS שזוהתה על-ידי חוקרים ישראלים. ההתקפה, המכונה NXNSAttack, יכולה לייעד כל שרת DNS, כולל Microsoft DNS ולאגד שרתים המוסמכים עבור אזור DNS.

עבור שרתי DNS השוכנים באינטרא-נט של החברה, Microsoft מדרג את הסיכון לניצול נמוך זה. עם זאת, שרתי DNS הנמצאים ברשתות edge חשופים לNXNSAttack. שרתי DNS מסוג Pre-Windows Server 2016 ששוכנים ברשתות edge אמורים להיות משודרגים ל-Windows Server 2016 וגירסאות מתקדמות יותר התומכות במגבלת קצב התגובה (RRL). RRL מקטין את אפקט הגברה כאשר פותרן DNS ייעודי מבצע שאילתה על שרתי ה-DNS שלך.  

תופעות

כאשר מתבצעת התקפת הגברה של DNS, ייתכן שתבחין באחת או יותר מהתופעות הבאות בשרת מושפע:

  • השימוש ב-CPU עבור DNS מוגבה.

  • הגדלה ותגובות של זמני התגובה של DNS עשויה להיפסק.

  • מספר בלתי צפוי של תגובות NXDOMAIN נוצר על-ידי שרת האימות שלך.

מבט כולל על התקפה

שרתי DNS הפכו תמיד לפגיעים למערך ההתקפות. מסיבה זו, שרתי DNS ממוקמים בדרך כלל מאחורי מאזן העומס וחומות האש ב-מפורז.

כדי לנצל פגיעות זו, התוקף חייב לכלול לקוחות DNS מרובים. בדרך כלל, אפשרות זו כוללת botnet, גישה לעשרות או מאות מפענחי DNS המסוגלים להגביר את ההתקפה, ושירות DNS של תוקף מיוחד.

המפתח להתקפה הוא שרת ה-DNS המובנה של התוקף המוגדר כסמכותי עבור תחום שנמצא בבעלותו של התוקף. כדי שההתקפה תצליח, מפענחי ה-DNS יצטרכו לדעת כיצד להגיע לתחום ולשרת ה-DNS של התוקף. שילוב זה יכול ליצור תקשורת רבה בין המפענחים הרקורסיביים לבין שרת ה-DNS המוסמך של הקרבן. התוצאה היא התקפה של DDoS.

פגיעות עבור MS DNS באינטרא-נט של החברה

תחומים פנימיים, פרטיים אינם ניתנים לפתירה בעזרת רמזי בסיס ושרתי DNS של תחום ברמה העליונה. כאשר אתה מבצע שיטות עבודה מומלצות, שרתי DNS המוסמכים לתחומים פרטיים, פנימיים, כגון תחומים של Active Directory, אינם ניתנים לגישה מהאינטרנט.

למרות שNXNSAttack של תחום פנימי מהרשת הפנימית אפשרי באופן טכני, היא תדרוש משתמש זדוני ברשת הפנימית שיש לו גישה ברמת מנהל לקביעת תצורת שרתי DNS פנימיים כך שיצביעו על שרתי DNS בתחום התוקף. משתמש זה צריך גם להיות מסוגל ליצור אזור זדוני ברשת ולהעביר שרת DNS מיוחד המסוגל לבצע את NXNSAttack ברשת הארגונית. משתמש בעל רמה זו של access בדרך כלל מעדיף להתגנב לפני הכרזת הנוכחות שלו על-ידי הפעלת התקפה של DNS DDoS מאוד גלוי.  

פגיעות עבור MS-DNS הפונה לקצה

פותרן DNS באינטרנט משתמש ברמזי בסיס ובשרתי תחום ברמה העליונה (TLD) כדי לפתור תחומים לא ידועים של DNS. תוקף יכול להשתמש במערכת DNS ציבורית זו כדי להשתמש בפותרן DNS הפונה לאינטרנט כדי לנסות הגברה של NXNSAttack. לאחר שהתגלה וקטור הגברה, ניתן להשתמש בו כחלק מהתקפה של מניעת שירות (DDoS) כנגד כל שרת DNS המארח תחום DNS ציבורי (התחום של הקרבן).

שרת DNS של edge המשמש כפותרן או כקובץ העברה יכול לשמש כוקטור הגברה עבור ההתקפה אם שאילתות נכנסות של DNS נכנסות שמקורן מהאינטרנט מותרות. גישה ציבורית מאפשרת ללקוח DNS זדוני להשתמש בפותרן כחלק מהתקפת הגברה כוללת.

שרתי DNS מוסמכים עבור תחומים ציבוריים חייבים לאפשר תעבורת DNS נכנסת שאינה רצויה מתוך מפענחs שמבצעות בדיקות מידע רקורסיביות מתוך ' רמזי בסיס ' ותשתית DNS של TLD. אחרת, הגישה לתחום נכשלת. פעולה זו גורמת לכל שרתי ה-DNS הסמכותיים של התחום להיות קורבנות של NXNSAttack. לשרתים של Microsoft DNS העומדים בפני הקצה לפעול Windows Server 2016 או גירסה מתקדמת יותר כדי לקבל תמיכה ב-RRL.

פתרון

כדי לפתור בעיה זו, השתמש בשיטה הבאה עבור סוג השרת המתאים.

עבור שרתי ה-DNS של MS הפונים לאינטרא-נט

הסיכון לניצול זה נמוך. נטר שרתי DNS פנימיים עבור תעבורה יוצאת דופן. הפוך את NXNSAttackers פנימיים ללא זמין שנמצא באינטרא-נט של הארגון שלך, כפי שהוא מתגלה.

עבור שרתי DNS מוסמכים הפונים לקצה

הפוך את RRL לזמין שנתמך על-ידי Windows Server 2016 וגירסאות מתקדמות יותר של Microsoft DNS. שימוש ב-RRL במפענחי DNS ממזער את הגברה התקיפה הראשונית. שימוש ב-RRL בשרת DNS סמכותי של תחום ציבורי מפחית כל הגברה המוחזרת בחזרה לפותרן ה-DNS. כברירת מחדל,RRL אינו זמין. לקבלת מידע נוסף אודות RRL, עיין במאמרים הבאים:

הפעל את ה-cmdlet של SetDNSServerResponseRateLimitingPowerShell כדי להפעיל את RRL באמצעות ערכי ברירת מחדל . אם הפיכת RRL לזמין גורם לשאילתות dns לגיטימיות להיכשל מכיוון שהוא מחוזק היטב, הגדל את הערכים עבור הפרמטרים ' תגובה/שניה' ושגיאות /שניה רק עד ששרת ה-DNS מגיב לשאילתות שנכשלו בעבר. פרמטרים אחרים עשויים גם לסייע למנהלי מערכת לנהל בצורה טובה יותר את הגדרות RRL. הגדרות אלה כוללות חריגים של RRL.

לקבלת מידע נוסף, עיין במאמר Microsoft Docs הבא:  

רישום ואבחון של DNS

שאלות נפוצות

Q1: האם ההקלה המסכמת כאן חלה על כל הגירסאות של Windows Server?

A1: לא. מידע זה אינו חל על Windows Server 2012 או 2012 R2. גירסאות מדור קודם אלה של Windows Server אינן תומכות בתכונה RRL המפחיתה את אפקט הגברה כאשר פותרן DNS ייעודי מבצע שאילתה על שרתי ה-DNS שלך.

Q2: מה על הלקוחות לעשות אם יש להם שרתי DNS הנמצאים ברשתות edge הפועלות באמצעות Windows Server 2012 או Windows Server 2012 R2?

A2: שרתי DNS הנמצאים ברשתות edge הפועלות ב-Windows Server 2012 או ב-Windows Server 2012 R2 לשדרוג ל-Windows Server 2016 וגירסאות מתקדמות יותר התומכות ב-RRL. RRL מקטין את אפקט הגברה כאשר פותרן DNS ייעודי מבצע שאילתה על שרתי ה-DNS שלך.

Q3: כיצד ניתן לקבוע אם RRL גורם לשאילתות DNS לגיטימיות להיכשל?

A3: אם RRL מוגדר למצב כניסה , שרת ה-DNS מבצע את כל החישובים של RRL. עם זאת, במקום לבצע פעולות מניעתי (כגון שחרור או חיתוך תגובות), השרת במקום זאת מבצע רישום של הפעולות הפוטנציאליות כאילו RRL הופעלו, ולאחר מכן ממשיך לספק את התגובות הרגילות.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×