Masuk dengan Microsoft
Masuk atau buat akun.
Halo,
Pilih akun lain.
Anda memiliki beberapa akun
Pilih akun yang ingin Anda gunakan untuk masuk.

Ringkasan

Ringkasan

Pada tanggal 19 Mei 2020, Microsoft merilis penasihat keamanan ADV200009. Penasihat ini menjelaskan serangan amplifikasi DNS yang telah diidentifikasi oleh peneliti Israel. Serangan tersebut, yang dikenal sebagai NXNSAttack, dapat menargetkan server DNS apa pun, termasuk server Microsoft DNS dan BIND yang otoritatif untuk zona DNS.

Untuk server DNS yang berada pada intranet perusahaan, Microsoft memtarif risiko eksploitasi ini sebagai rendah. Namun, server DNS yang berada di jaringan EDGE rentan terhadap NXNSAttack. Server DNS pra-Windows Server 2016 yang berada di jaringan EDGE harus dimutakhirkan ke Windows Server 2016 atau versi yang lebih baru yang mendukung batas tingkat respons (RRL). RRL mengurangi efek amplifikasi ketika singgahan pemecah masalah DNS bertarget menanyakan server DNS Anda.  

Gejala

Saat serangan amplifikasi DNS dibuat, Anda dapat mengamati satu atau beberapa gejala berikut ini di server yang terpengaruh:

  • Penggunaan CPU untuk DNS ditinggikan.

  • Peningkatan dan respons waktu respons DNS mungkin berhenti.

  • Jumlah respons NXDOMAIN yang tidak diharapkan dihasilkan oleh server autentikasi Anda.

Gambaran umum serangan

Server DNS selalu rentan terhadap serangkaian serangan. Untuk alasan ini, server DNS umumnya diletakkan di belakang load Balancer dan firewall dalam DMZ.

Untuk memanfaatkan kerentanan ini, penyerang harus memiliki beberapa klien DNS. Biasanya, ini akan menyertakan botnet, Access ke lusinan atau ratusan resolver DNS yang mampu memperkuat serangan, dan layanan server DNS penyerang khusus.

Kunci untuk menyerang adalah penyerang server DNS yang diotorisasi untuk domain yang dimiliki penyerang. Agar serangan berhasil, resolver DNS harus mengetahui cara menjangkau domain dan server DNS penyerang. Kombinasi ini dapat menghasilkan banyak komunikasi antara resolver rekursif dan server DNS otoritatif korban. Hasilnya adalah serangan DDoS.

Kerentanan untuk MS DNS pada intranet perusahaan

Domain internal, privat tidak diatasi melalui petunjuk akar dan server DNS domain tingkat atas. Saat Anda mengikuti praktik terbaik, server DNS yang otoritatif untuk domain internal privat, seperti domain direktori aktif, tidak dapat dijangkau dari internet.

Meskipun NXNSAttack dari domain internal dari jaringan internal secara teknis memungkinkan, maka akan memerlukan pengguna jahat pada jaringan internal yang memiliki akses tingkat administrator untuk mengonfigurasi server DNS internal guna mengarahkan server DNS di domain penyerang. Pengguna ini juga harus dapat membuat zona berbahaya pada jaringan dan meletakkan server DNS khusus yang mampu melakukan NXNSAttack pada jaringan korporat. Pengguna yang memiliki tingkat akses ini umumnya akan mendukung Stealth tentang mengumumkan kehadiran mereka dengan memulai serangan DDoS DNS yang sangat terlihat.  

Kerentanan untuk Edge-Facing MS DNS

Singgahan pemecah masalah DNS di Internet menggunakan petunjuk akar dan server domain tingkat atas (TLD) untuk mengatasi domain DNS yang tidak diketahui. Penyerang dapat menggunakan sistem DNS publik ini untuk menggunakan singgahan pemecah masalah DNS yang dihadapi internet untuk mencoba amplifikasi nxnsattack. Setelah vektor amplifikasi ditemukan, ini bisa digunakan sebagai bagian dari serangan Denial of Service (DDoS) terhadap server DNS apa pun yang menghosting domain DNS publik (domain korban).

Server DNS Edge yang bertindak sebagai penyelesai atau forwarder dapat digunakan sebagai vektor amplifikasi untuk serangan jika kueri DNS masuk yang tidak diminta yang berasal dari Internet diperbolehkan. Akses publik memungkinkan klien DNS perusak yang berbahaya menggunakan penyelesai sebagai bagian dari serangan amplifikasi keseluruhan.

Server DNS otoritatif untuk domain publik harus memperbolehkan Traffic DNS masuk yang tidak diminta dari resolver yang melakukan pencarian berulang dari akar petunjuk dan infrastruktur DNS TLD. Jika tidak, akses ke domain gagal. Hal ini menyebabkan semua server DNS otoritatif domain publik menjadi kemungkinan korban NXNSAttack. Edge-berhadapan dengan server Microsoft DNS harus menjalankan Windows Server 2016 atau versi yang lebih baru untuk mendapatkan dukungan RRL.

Pemecahan Masalah

Untuk mengatasi masalah ini, gunakan metode berikut untuk tipe server yang sesuai.

Untuk menghadapi intranet server MS DNS

Risiko eksploitasi ini rendah. Pantau server DNS internal untuk trafik yang tidak biasa. Nonaktifkan NXNSAttackers internal yang berada di intranet perusahaan Anda saat ditemukan.

Untuk server DNS otoritatif yang menghadap Edge

Aktifkan RRL yang didukung oleh Windows Server 2016 dan versi Microsoft DNS yang lebih baru. Menggunakan RRL pada resolver DNS meminimalkan amplifikasi serangan awal. Menggunakan RRL di server DNS otoritatif domain publik mengurangi amplifikasi yang tercermin kembali ke resolver DNS. Secara default,RRL dinonaktifkan. Untuk informasi selengkapnya tentang RRL, lihat artikel berikut ini:

Jalankan cmdlet PowerShell setdnsserverresponseratelimitinguntuk mengaktifkan RRL menggunakan nilai default. Jika mengaktifkan RRL menyebabkan kueri DNS yang sah gagal karena mengalami kelambatan terlalu Rapat, menaikkan nilai untuk parameter response/SECdan Errors/SEC hanya sampai DNS Server merespons kueri sebelumnya yang gagal. Parameter lain mungkin juga membantu administrator mengelola pengaturan RRL dengan lebih baik. Pengaturan ini menyertakan pengecualian RRL.

Untuk informasi selengkapnya, lihat artikel Microsoft docs berikut ini:  

Pembuatan log dan diagnostik DNS

Pertanyaan umum

Q1: Apakah mitigasi yang diringkas di sini berlaku untuk semua versi Windows Server?

A1: Tidak. Informasi ini tidak berlaku untuk Windows Server 2012 atau 2012 R2. Versi warisan Windows Server ini tidak mendukung fitur RRL yang mengurangi efek amplifikasi saat kueri singgahan pemecah masalah DNS tertarget menanyakan server DNS Anda.

Q2: apa yang harus dilakukan pelanggan jika mereka memiliki server DNS yang berada di jaringan EDGE yang menjalankan Windows Server 2012 atau Windows Server 2012 R2?

A2: Server DNS yang berada di jaringan EDGE yang menjalankan Windows Server 2012 atau Windows Server 2012 R2 harus dimutakhirkan ke Windows Server 2016 atau versi yang lebih baru yang mendukung RRL. RRL mengurangi efek amplifikasi ketika singgahan pemecah masalah DNS bertarget menanyakan server DNS Anda.

Q3: Bagaimana cara menentukan apakah RRL yang menyebabkan kueri DNS yang sah gagal?

A3: Jika RRL dikonfigurasikan ke mode LogOnly , server DNS melakukan semua perhitungan RRL. Namun, alih-alih melakukan tindakan preventif (seperti menjatuhkan atau memotong respons), server akan membuat log tindakan potensial seolah-olah RRL diaktifkan, lalu terus memberikan respons yang biasa.

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Menemukan Komunitas

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.

Tanyakan kepada Microsoft Community

Komunitas Teknologi Microsoft

Windows Insider

Microsoft 365 Insider

Apakah informasi ini berguna?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?
Dengan menekan kirim, umpan balik Anda akan digunakan untuk meningkatkan produk dan layanan Microsoft. Admin TI Anda akan dapat mengumpulkan data ini. Pernyataan Privasi.

Terima kasih atas umpan balik Anda!

×