Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Abstrakts

2020 maijā Microsoft izlaida drošības padomdevēja ADV200009. Šajā padomdevēja rakstā ir sniegts DNS pastiprinājuma uzbrukums, ko atklāja Izraēlas zinātnieki. Uzbrukt, kas tiek dēvēts par NXNSAttack, var norādīt uz jebkuru DNS serveri, tostarp Microsoft DNS un SAISTĪT serverus, kas ir autoritatīvi attiecībā uz DNS zonu.

Attiecībā uz DNS serveriem, kas atrodas korporatīvajā iekštīklā, korporācija Microsoft vērtē risku, ka tas tiek izmantots kā mazs. Taču DNS serveri, kas atrodas EDGE tīklos, ir neaizsargāti pret NXNSAttack. Iepriekš Windows Server 2016 DNS serveri, kas atrodas EDGE tīklos, ir jājaunina uz Windows Server 2016 vai jaunākām versijām, kas atbalsta atbilžu ātruma ierobežojumu (RRL). RRL samazina pastiprinājuma efektu, ja noteiktais DNS atrisinātājs vaicā jūsu DNS serverus.  

Simptomi

Kad ir veikts DNS pastiprinājuma uzbrukums, jūs var novērot vienu vai vairākas no šīm pazīmēm attiecīgajā serverī.

  • Ir paaugstināts centrālā procesora lietojums DNS.

  • DNS atbilžu laiku pieaugums un atbildes var tikt apturētas.

  • Negaidītu skaitu NXDOMAIN atbilžu ģenerē jūsu autentifikācijas serveris.

Uzbrukuma pārskats

DNS serveri vienmēr ir bijuši neaizsargāti pret uzbrukumu masīvu. Šī iemesla dēļ DNS serveri parasti tiek novietoti aiz slodzes balansētājiem un ugunsmūriem DMZ.

Lai izmantotu šo problēmu, uzbrucējam būtu jāatrodas vairākiem DNS klientiem. Parasti tas iekļauj botu, piekļuvi dučiem vai simtiem DNS atrisinātāja, kas spēj pastiprināt uzbrukumu, kā arī specializētu uzbrucēju DNS servera pakalpojumu.

Uzbrukuma atslēga ir īpaši izcelts uzbrucēja DNS serveris, kas ir autoritatīvs domēnam, kuram pieder uzbrucējs. Lai uzbrukums būtu sekmīgs, DNS atrisinātājam ir jāzina, kā sasniegt uzbrucēja domēnu un DNS serveri. Šī kombinācija var izveidot daudz sazināšanos starp rekursīvajām rerisinātājam un cietušā autoritatīvo DNS serveri. Rezultāts ir DDoS uzbrukums.

MS DNS ievainojamība korporatīvajā iekštīklā

Iekšēji privātie domēni netiek atšķirami no saknes ieteikumiem un augšējā līmeņa domēna DNS serveriem. Ja ievērosit paraugpraksi, DNS serveri, kas ir autoritatīvi privātiem, iekšējiem domēniem, piemēram, Active Directory domēni, nav sasniedzami no interneta.

Lai gan iekšējā domēna NXNSAttack no iekšējā tīkla ir tehniski iespējama, tam ir nepieciešams ļaunprātīgs lietotājs iekšējā tīklā, kuram ir administratora līmeņa piekļuve, lai konfigurētu iekšējos DNS serverus un norādītu uz DNS serveriem uzbrucēja domēnā. Šim lietotājam ir jāspēj arī izveidot tīklā ļaunprātīgu zonu un ievietot īpašu DNS serveri, kas var veikt uzņēmuma tīklā esošo NXNSAttack. Lietotājs, kuram ir šis Access līmenis, parasti ir piešķirams ar informāciju par to klātbūtnes paziņojumu, uzsāciet ļoti redzamu DNS DDoS uzbrukumu.  

Ievainojamība ar Edge-Facing MS DNS

DNS atrisinātājs internetā izmanto saknes ieteikumus un augšējā līmeņa domēnu (TLD) serverus, lai novērstu nezināmus DNS domēnus. Uzbrucējs var izmantot šo publisko DNS sistēmu, lai izmantotu jebkuru Internet-Facing DNS atrisinātājs un izmēģinātu NXNSAttack pastiprinājumu. Pēc tam, kad ir atrasts pastiprinājuma vektors, to var izmantot kā daļu no pakalpojuma pakalpojumatteices (DDoS) uzbrukuma pret jebkuru DNS serveri, kas vieso publisko DNS domēnu (cietušā domēns).

Malas DNS serveri, kas darbojas kā atrisinātājs vai pārsūtītājs, var izmantot kā pastiprinājuma vektoru uzbrukumam, ja ir atļauti nelūgti ienākošie DNS vaicājumi, kas nāk no interneta. Publiska piekļuve ļauj ļaunprātīgam DNS klientam izmantot atrisinātājs kā daļu no kopējā pastiprinājuma uzbrukuma.

Autoritatīvajiem DNS serveriem publiskajos domēnos ir jāatļauj nelūgta ienākošā DNS datplūsma no risinātāja, kas veic Rekursīvas meklēšanas no saknes ieteikumiem un TLD DNS infrastruktūras. Pretējā gadījumā piekļuve domēnam neizdevās. Tādējādi visi publiskie domēna autoritatīvie DNS serveri ir iespējami NXNSAttack upuri. Microsoft DNS serveriem ar kontūrām jādarbojas Windows Server 2016 vai jaunākā versijā, lai iegūtu RRL atbalstu.

Risinājums

Lai novērstu šo problēmu, attiecīgajam servera tipam izmantojiet tālāk norādīto metodi.

Iekštīklam paredzētajiem MS DNS serveriem

Šī izmantošanas risks ir mazs. Pārrauga iekšējos DNS serverus neparastai datplūsmai. Atspējojiet iekšējās NXNSAttackers, kas atrodas jūsu uzņēmuma iekštīklā, tiklīdz tās tiek atklātas.

Ar Edge autoritatīvajiem DNS serveriem

Iespējojiet RRL, ko atbalsta Windows Server 2016 un jaunākas Microsoft DNS versijas. Izmantojot RRL DNS resolvers, tiek minimizēts sākotnējais uzbrukuma pastiprinājums. RRL izmantošana publiskā domēna Autoritatīvā DNS serverī samazina jebkuru pastiprinājumu, kas tiek atspoguļots atpakaļ DNS atrisinātājs. Pēc noklusējumaRRL ir atspējota. Papildinformāciju par RRL skatiet šajos rakstos:

Palaidiet SetDNSServerResponseRateLimitingPowerShell cmdlet, lai iespējotu RRL, izmantojot noklusējuma vērtības. Ja iespējojot RRL izraisa likumīgiem DNS vaicājumiem neatbilstību, jo tie tiek ierobežoti ierobežoti, pakāpeniski palieliniet atbildes/SECun kļūdu/SEC parametru vērtības tikai līdz brīdim, kamēr DNS serveris reaģē uz iepriekš neveiksmīgiem vaicājumiem. Citi parametri var arī palīdzēt administratoriem labāk pārvaldīt RRL iestatījumus. Šie iestatījumi ietver RRL izņēmumus.

Lai iegūtu papildinformāciju, skatiet šo Microsoft dokumentu rakstu:  

DNS reģistrēšana un diagnostika

bieži uzdotie jautājumi

Q1: vai ietekmes mazināšana, kas šeit ir apkopota, attiecas uz visām Windows Server versijām?

A1: nē. Šī informācija neattiecas uz Windows Server 2012 vai 2012 R2. Šīs mantotās Windows Server versijas neatbalsta RRL līdzekli, kas samazina pastiprinājuma efektu, ja jūsu DNS serveri veic noteiktu DNS atrisinātājs vaicājumu.

Q2: kas klientiem jādara, ja tiem ir DNS serveri, kas atrodas EDGE tīklos, kuros darbojas sistēma Windows Server 2012 vai Windows Server 2012 R2?

A2: DNS serveri, kas atrodas EDGE tīklos, kuros darbojas Windows Server 2012 vai Windows Server 2012 R2, ir jājaunina uz Windows Server 2016 vai jaunākām versijām, kas atbalsta RRL. RRL samazina pastiprinājuma efektu, ja noteiktais DNS atrisinātājs vaicā jūsu DNS serverus.

Q3: kā noteikt, vai RRL izraisa likumīgo DNS vaicājumu kļūmi?

A3: Ja RRL ir konfigurēta uz pieteikšanās režīmu, DNS serveris veic visus RRL aprēķinus. Taču, tā vietā, lai veiktu profilaktiskas darbības (piemēram, nomešanu vai apcirstu atbildes), serveris reģistrē iespējamās darbības, ja RRL ir iespējotas, un pēc tam turpina sniegt parastās atbildes.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×