Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Sažetak

Apstraktni

U svibnju 19, 2020, Microsoft je oslobodio sigurnosne savjetodavne ADV200009. Ovaj savjetodavni Opis napada DNS pojačanje koji su identificirali izraelski istraživači. Napad, poznat kao NXNSAttack, može ciljati bilo koji DNS poslužitelj, uključujući Microsoftov DNS i povezivanje poslužitelja koji su autoritativni za DNS zonu.

Za DNS poslužitelje koji se nalaze na intranetskoj tvrtki Microsoft ocjenjuje rizik od ovog iskorištavanja kao niskog. No DNS poslužitelji koji se nalaze na rubovima mreža ranjivi su na NXNSAttack. DNS poslužitelji prije sustava Windows Server 2016 koji se nalaze na rubovima mreža moraju biti nadogradili na Windows Server 2016 ili novije verzije koje podržavaju ograničenje stope odaziva (RRL). RRL smanjuje učinak pojačanja kada ciljani DNS Rješavatelj upita DNS poslužitelje.  

Simptomi

Kada se radi o napadu DNS pojačanja, možete promatrati jedan ili više sljedećih simptoma na primijenjen poslužitelj:

  • Korištenje CPU-a za DNS je povišeno.

  • Povećava se vrijeme odaziva DNS-a i odgovori se mogu zaustaviti.

  • Neočekivan broj odgovora na NXDOMAIN generira vaš poslužitelj za provjeru autentičnosti.

Pregled napada

DNS poslužitelji uvijek su bili ranjivi na niz napada. Iz tog razloga DNS poslužitelji obično se nalaze iza rasporedi opterećenja i vatrozida u programu DEMILITARIZIRANOJ zoni.

Da biste iskoristili ovu ranjivost, napadač mora imati više DNS klijenata. Tipično, to bi uvrstili botnet, pristup desecima ili stotinama DNS rješavač-ova koji su sposobni pojačati napad te specijalizirane napadačke servise DNS poslužitelja.

Ključ napada jest posebno izgrađen napadač DNS poslužitelj koji je autoritativan za domenu koju napadač posjeduje. Da bi napad bio uspješan, DNS rješavač moraju znati kako doći do napadačeve domene i DNS poslužitelja. Ova kombinacija može generirati puno komunikacija između rekurzivnih rješavač i žrtvin autoritativni DNS poslužitelj. Rezultat je DDoS napad.

Ranjivost za MS DNS na korporacijskim intranets-u

Interne, privatne domene ne mogu se predviñenim putem korijenskih savjeta i DNS poslužitelja najviše razine. Kada slijedite najbolje prakse, DNS poslužitelji koji su autoritativni za privatne, interne domene, kao što su domene servisa Active Directory, nisu dostupni s interneta.

Iako je tehnički mogući napad interne domene iz interne mreže, to će zahtijevati od zlonamjernog korisnika na unutarnjoj mreži koja ima pristup na razini administratora da bi konfigurirao interne DNS poslužitelje da upućuje na DNS poslužitelje u domeni napadača. Ovaj korisnik mora biti u mogućnosti stvoriti zlonamjernu zonu na mreži i staviti posebni DNS poslužitelj koji može obavljati NXNSAttack na korporacijsku mrežu. Korisnik koji ima ovu razinu pristupa općenito će favoriziraju Stealth nad objavljivanjem njihove prisutnosti pokretanjem vrlo vidljivog DNS DDoS napada.  

Ranjivost za MS DNS na Edge-u

DNS Rješavatelj na internetu koristi root Savjeti i domene najviše razine (TLD) da bi riješio nepoznate DNS domene. Napadač može koristiti ovaj javni DNS sustav da bi mogao koristiti bilo koji DNS Rješavatelj koji se suočava s internetom da bi pokušao povećati pojačanje. Nakon otkrivanja vektora pojačanja, može se koristiti kao dio napada odbijanja servisa (DDoS) na bilo koji DNS poslužitelj koji hostira javnu DNS domenu (domenu žrtve).

Rubni DNS poslužitelj koji funkcionira kao rješavač ili špediter može se koristiti kao vektor pojačanja za napad ako su dozvoljeni netraženi dolazni DNS upiti koji potječu s interneta. Javni pristup omogućuje zlonamjernom DNS klijentu da koristi Rješavatelj kao dio cjelokupnog napada pojačanja.

Autoritativni DNS poslužitelji za javne domene moraju dopustiti nezatraženi dolazni DNS promet iz rješavač-ova koji koriste rekurzivni pretraživanja iz korijenskog programa Savjeti i TLD DNS infrastrukture. U suprotnom pristup domeni ne uspijeva. To uzrokuje da svi autoritativni DNS poslužitelji javnih domena budu moguće žrtve napada Nxns. Microsoftovi DNS poslužitelji s pogledom na Edge trebali bi pokrenuti Windows Server 2016 ili noviju verziju da biste stekli podršku za RRL.

Rješenje

Da biste riješili taj problem, koristite sljedeći način za odgovarajuću vrstu poslužitelja.

Za DNS poslužitelje sa serverima na intranetu

Rizik od ovog iskorištavanja je nizak. Nadzirite interne DNS poslužitelje za neuobičajen promet. Onemogućite interne Nxnsattackere koji se nalaze na intranetu tvrtke kao što su otkriveni.

Za autoritativne DNS poslužitelje s pogledom na Edge

Omogućite RRL koju podržava Windows Server 2016 i novije verzije Microsoftova DNS-a. Korištenje programa RRL na DNS rješavač minimizira početno pojačanje napada. Korištenje programa RRL na autoritativnom DNS poslužitelju javnog domena smanjuje bilo koje pojačavanje koje se odražava natrag na DNS Rješavatelj. Po zadanom,RRL je onemogućen. Dodatne informacije o programu RRL potražite u sljedećim člancima:

Pokrenite cmdlet setdnsserverresponserate,PowerShell da biste omogućili RRL pomoću zadanih vrijednosti. Ako Omogućivanje programa RRL uzrokuje neuspjeh legitimnih DNS upita jer ih se previše čvrsto ograničavaju, incrementally povećava vrijednosti za odgovor/seci pogreške/sec parametre samo dok DNS poslužitelj ne reagira na prethodno neuspjehe upite. Drugi parametri mogu pomoći i administratorima da bolje upravljaju postavkama RRL-a. Te postavke obuhvaćaju iznimke RRL.

Dodatne informacije potražite u sljedećim člancima iz programa Microsoft docs:  

DNS zapisivanje i dijagnostika

Najčešća pitanja

Q1: da li se ublažavanje koja se ovdje sažima primjenjuje na sve verzije sustava Windows Server?

A1: ne. Te se informacije ne primjenjuju na Windows Server 2012 ili 2012 R2. Te naslijeđene verzije sustava Windows Server ne podržavaju značajku RRL koja smanjuje učinak pojačanja kada ciljani DNS Rješavatelj upita DNS poslužitelje.

P2: što bi klijenti trebali učiniti ako imaju DNS poslužitelje koji se nalaze na rubovima mreža na kojima se prikazuju Windows Server 2012 ili Windows Server 2012 R2?

A2: DNS poslužitelji koji se nalaze na rubovima mreža na kojima se koriste Windows Server 2012 ili Windows Server 2012 R2 trebali bi se nadograditi na Windows Server 2016 ili novije verzije koje podržavaju RRL. RRL smanjuje učinak pojačanja kada ciljani DNS Rješavatelj upita DNS poslužitelje.

P3: Kako utvrditi može li RRL uzrokovati neuspjeh legitimnih DNS upita?

A3: Ako je RRL konfigurirana u načinu LogOnly , DNS poslužitelj čini sve proračune RRL. No umjesto preventivnih akcija (kao što su ispuštanje ili odsijecanje odgovora), poslužitelj će umjesto toga zapisivati potencijalne akcije kao da su funkcije RRL omogućene, a zatim nastavljaju pružati uobičajene odgovore.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×