Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

Abstraktūs

2020 gegužės 19 d., "Microsoft" išleido saugos patarimą ADV200009. Šiame patarime aprašomi DNS amplifikacijos atakos, kurią nustatė Izraelio mokslininkai. Ataka, žinoma kaip NXNSAttack, gali taikyti bet kurį DNS serverį, įskaitant "Microsoft DNS" ir "BIND" serverius, kurie yra patikimi DNS zonai.

DNS serveriuose, kurie gyvena įmonės vidiniame kompiuteryje, "Microsoft" nustato, kad šio išnaudojimo tikimybė yra maža. Tačiau "Edge" tinkluose gyvenantys DNS serveriai yra pažeidžiami NXNSAttack. Ankstesnės "Windows Server" 2016 DNS serveriai, kurie gyvena periferiniuose tinkluose, turi būti atnaujinti į "Windows Server" 2016 arba vėlesnes versijas, kurios palaiko atsakymų spartos ribą (RRL). "RRL" sumažina amplifikacijos efektą, kai tikslinis DNS vardų vertimo tvarkytuvas pateikia DNS serverių užklausas.  

Simptomai

Kai DNS amplifikacijos atakos, paveiktame serveryje galite pastebėti vieną ar daugiau iš šių požymių:

  • CPU naudojimas DNS yra padidėjęs.

  • DNS atsakymo laiką padidinti ir atsakymai gali būti sustabdytas.

  • Netikėtą NXDOMAIN atsakymų skaičių sugeneravo jūsų autentifikavimo serveris.

Atakos apžvalga

DNS serveriai visada buvo pažeidžiami dėl atakų masyvo. Dėl šios priežasties DNS serveriai paprastai teikiami už krovinio balansavimo ir ugniasienes DMZ.

Norėdami išnaudoti šį pažeidžiamumą, pažeidėjas turėtų turėti kelis DNS klientus. Paprastai tai apima "botnet", prieigą prie daugybės ar šimtų DNS vardų, kurie gali sustiprinti ataką, ir specializuotą įsilaužėlių DNS serverio paslaugą.

Ataka raktas yra specialiai sukurtas puolėjas DNS serveris, kuris yra patikimas domeno, kurį atakującej turi. Kad ataka būtų sėkminga, DNS resolvers turi žinoti, kaip pasiekti atakującej domeno ir DNS serverį. Šis derinys gali generuoti daug ryšių tarp Rekursiniai resolvers ir aukos patikimą DNS serverį. Rezultatas yra DDoS atakos.

"MS DNS" verslo intranetų pažeidžiamumas

Vidiniai, privatūs domenai negalimi per šaknies užuominų ir aukščiausio lygio domenų DNS serverius. Kai atliksite geriausias praktikas, DNS serveriai, kurie yra patikimi privačiuose vidiniame domenuose, pvz., "Active Directory" domenai, nėra pasiekiami iš interneto.

Nors vidinio domeno NXNSAttack iš vidinio tinklo yra techniškai įmanomas, jam reikia kenkėjiško vartotojo vidiniame tinkle, kuris turi administratoriaus lygio prieigą, kad sukonfigūruotumėte vidinius DNS serverius ir nurodytų DNS serverius atakuojančiam domenui. Šis vartotojas taip pat turi galėti sukurti kenkėjišką zoną tinkle ir įdėti specialų DNS serverį, kuris gali atlikti "NXNSAttack" įmonės tinkle. Vartotojas, kuris turi šį prieigos lygį, paprastai teikia slapti informaciją apie savo buvimą, inicijuodamas labai matomą DNS DDoS ataką.  

"Edge" su "MS DNS" pažeidžiamumas

DNS vardų vertimo programa internete naudoja pagrindines užuominų ir aukščiausio lygio domenų (ALD) serverius, kad išspręstų nežinomus DNS domenus. Pažeidėjas gali naudoti šią viešąją DNS sistemą Norėdami naudoti bet kurį interneto DNS vardų vertimo programą, kad išbandytumėte NXNSAttack. Aptikus amplifikacijos vektorius, jį galima naudoti kaip paslaugos atsisakymo (DDoS) ataką bet kuriame DNS serveryje, kuriame yra viešasis DNS domenas (aukos domenas).

"Edge" DNS serveris, kuris veikia kaip "vertimo priemonės" arba "ekspeditorius", gali būti naudojamas kaip amplifikacijos vektorinis priepuolis, jei nepageidaujamų gaunamų DNS užklausų, kurios kilusios iš interneto, yra leidžiamos. Viešoji prieiga leidžia kenkėjiškam DNS klientui naudoti "vertimo priemonės" kaip bendro amplifikacijos atakos dalį.

Patikimi DNS serveriai viešuose domenuose turi leisti nepageidautiną gaunamo DNS srautą iš resolvers, kurie atlieka rekursinis peržvalgas iš pagrindinių patarimų ir ALD DNS infrastruktūra. Priešingu atveju prieiga prie domeno nepavyksta. Dėl visų viešųjų domenų patikimų DNS serverių galima gauti NXNSAttack. "Microsoft" DNS serveriai turi veikti "Windows Server" 2016 arba naujesnę versiją, kad būtų galima gauti RRL palaikymą.

Sprendimas

Norėdami išspręsti šią problemą, naudokite šį metodą atitinkamam serverio tipui.

Vidiniame "MS DNS" serveriuose

Šio išnaudojimo pavojus yra žemas. Stebėti vidinius DNS serverius, skirtus neįprastam srautui. Išjunkite vidinius NXNSAttackers, kurie yra jūsų įmonės intranete, kai jie aptinkami.

Su Edge nukreiptais patikimais DNS serveriais

Įjunkite RRL, kurį palaiko "Windows Server 2016" ir vėlesnės "Microsoft" DNS versijos. Naudojant RRL, DNS resolvers sumažina pradinį atakos amplifikavimą. Naudojant RRL viešame domene patikimas DNS serveris sumažina bet kokį amplifikavimą, kuris parodomas atgal į DNS vardų vertimo programos. Pagal numatytuosiusRRL yra išjungtas. Daugiau informacijos apie RRL rasite tolesniuose straipsniuose:

Paleiskite " setdnsserverresponseratelimitingPowerShell" cmdlet, kad RRL būtų galima naudoti numatytąsias reikšmes. Jei įjungus RRL dėl teisėtų DNS užklausų nepavyksta, nes jos yra per glaudžiai, vis labiau padidina atsakymo/SEKir klaidų/SEC parametrų reikšmes tik tol, kol DNS serveris atsakys į anksčiau nepriimtas užklausas. Kiti parametrai taip pat gali padėti administratoriams geriau valdyti RRL parametrus. Šie parametrai apima RRL išimtis.

Daugiau informacijos ieškokite šiuose "Microsoft" dokumentų straipsniuose:  

DNS registravimas ir diagnostika

Dažnai užduodami klausimai

Q1: ar šiame susumuojamas mažinimas taikomas visoms "Windows Server" versijoms?

A1: ne. Ši informacija netaikoma "Windows Server" 2012 arba 2012 R2. Šios senstelėjusios "Windows Server" versijos nepalaiko RRL funkcijos, kuri sumažina amplifikacijos efektą, kai tikslinis DNS vardų vertimo tvarkytuvas pateikia DNS serverių užklausas.

Q2: ką turėtų daryti Klientai, jei jie turi DNS serverius, esančius periferiniuose tinkluose, kuriuose veikia "Windows Server" 2012 arba "Windows Server" 2012 R2?

A2: DNS serveriai, gyvenantys periferiniuose tinkluose, kuriuose veikia "Windows Server" 2012 arba "Windows Server" 2012 R2, turi būti atnaujinti į "Windows Server 2016" arba vėlesnes versijas, palaikančių RRL. "RRL" sumažina amplifikacijos efektą, kai tikslinis DNS vardų vertimo tvarkytuvas pateikia DNS serverių užklausas.

Q3: kaip nustatyti, ar RRL sukelia teisėtas DNS užklausas žlugti?

A3: Jei RRL sukonfigūruotas tik LogOnly REŽIMUI, DNS serveris atlieka visus RRL skaičiavimus. Tačiau užuot naudoję prevencinius veiksmus (pvz., kritinius arba trumpintus atsakymus), serverio vietoje užregistruoja galimus veiksmus, pvz., jei buvo įgalintas RRL, ir toliau pateikiamas įprastas atsakymas.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×