Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Povzetek

Abstraktno

V maju 19, 2020, Microsoft izdan varnostni svetovalni ADV200009. V tem posvetovalnem članku je opisan napad DNS, ki ga je identificiral izraelski raziskovalci. Napad, znan kot NXNSAttack, lahko cilja na kateri koli strežnik DNS, vključno s strežniki Microsoft DNS in VEŽEJO strežnike, ki so avtoritativni za območje DNS.

Za strežnike DNS, ki so v intranetu podjetja, Microsoft ocenjuje, da je tveganje za to izkoristili kot nizko. Vendar pa so strežniki DNS, ki prebivajo v omrežjih Edge, ranljivi za NXNSAttack. Strežniki DNS pred sistemom Windows Server 2016, ki prebivajo v omrežjih Edge, bi morali biti nadgrajeni na Windows Server 2016 ali novejše različice, ki podpirajo omejitev odzivov (RRL). RRL zmanjša učinek ojačanja, ko se ciljni Razreševalnik DNS poizve za vaše strežnike DNS.  

Znaki

Ko je ustvarjeno naročnino na DNS, lahko v prizadetem strežniku opazite enega ali več teh simptomov:

  • Uporaba CPE za DNS je povišana.

  • Odzivni časi DNS se povečujejo in Odzivi se lahko zaustavijo.

  • Nepričakovano število NXDOMAIN odgovorov ustvari strežnik za preverjanje pristnosti.

Pregled napada

Strežnik DNS je bil vedno ranljiv za vrsto napadov. Iz tega razloga so strežniki DNS običajno nameščeni za uravnavanje obremenitve in požarne zidove v DMZ.

Če želite izkoristiti to ranljivost, bi moral imeti napadalca več odjemalcev DNS. To običajno vključuje botnet, dostop do desetine ali stotine zapisov DNS, ki lahko okrepijo napad, in storitev, ki je specializirana za strežnik DNS za napadalec.

Ključ do napada je posebej vgrajen strežnik DNS napadalca, ki je avtoritativni za domeno, ki jo ima v lasti napadalca. Če želite, da bo napad uspešen, morajo imeti DNS navodila za dostop do domene napadalca in strežnika DNS. Ta kombinacija lahko ustvari veliko komunikacijo med rekurzivnimi odreševaleci in avtoritativnim DNS strežnikom žrtve. Rezultat je napad DDoS.

Ranljivost za MS DNS v intranetih podjetja

Notranja, zasebna domena se ne razločljiva prek koreninskih namigov in strežnikov DNS domene na najvišji ravni. Ko upoštevate najboljše prakse, so strežniki DNS, ki so avtoritativni za zasebne, notranje domene, kot so domene imenika Active Directory, nedosegljivi iz interneta.

Čeprav je NXNSAttack notranje domene iz notranjega omrežja tehnično možna, bi moral biti Zlonamerni uporabnik v notranjem omrežju, ki ima dostop na skrbniški ravni za konfiguriranje notranjih strežnikov DNS, da kaže na strežnike DNS v domeni napadalca. Ta uporabnik mora biti sposoben ustvariti zlonamerno območje v omrežju in postaviti poseben strežnik DNS, ki lahko izvaja NXNSAttack v omrežju podjetja. Uporabnik, ki ima to raven dostopa, bo na splošno naklonjen prikritosti nad objavo svoje prisotnosti tako, da sproži zelo viden napad DNS DDoS.  

Ranljivost za z robom, obrnjenimi v MS DNS

Razreševalnik DNS v internetu uporablja korenske namige in strežnike najvišje ravni (TLD) za razreševanje neznanih domen DNS. Napadalec lahko s tem javnim DNS sistemom uporabi kateri koli internetni Razreševalnik DNS, da poskusi NXNSAttack ojačevanje. Ko odkrijete vektor ojačanja, ga lahko uporabite kot del zavrnitve storitve (DDoS) napada na kateri koli strežnik DNS, ki gosti javno domeno DNS (domena žrtev).

Rob DNS Server, ki deluje kot Razreševalnik ali špediter, se lahko uporabi kot dodatek za ojačanje za napad, če so dovoljene nenaročene dohodne poizvedbe DNS, ki izvirajo iz interneta. Javni dostop omogoča, da zlonamerni odjemalec DNS uporabi Razreševalnik kot del celotnega napada ojačanja.

Avtoritativni strežniki DNS za javna Domains morajo omogočati nenaročeni dohodni promet DNS iz reševalca, ki počnejo rekurzivne poizvedbe iz koreninskih namigov in infrastrukture TLD DNS. V nasprotnem primeru dostop do domene spodleti. To povzroči, da so vsi avtoritativni strežniki DNS v javni domeni možne žrtve NXNSAttack. Microsoft DNS Servers, ki se soočajo z robovi, naj bi zagnali Windows Server 2016 ali novejšo različico, da pridobijo podporo za RRL.

Rešitev

To težavo odpravite tako, da uporabite ta način za ustrezno vrsto strežnika.

Za strežnike DNS, ki se soočajo z intranetom

Tveganje za to izkoriščanje je nizko. Nadzorujte notranje strežnike DNS za nenavaden promet. Onemogočite notranje NXNSAttackers, ki so v intranetu podjetja, kot so odkrili.

Za avtoritativne strežnike DNS, obrnjene na rob

Omogočite RRL, ki ga podpira Windows Server 2016 in novejše različice Microsoft DNS. Z uporabo RRL v sistemih DNS se Minimira začetno ojačanje napada. Če uporabljate RRL v javni domeni, avtoritativni strežnik DNS zmanjša kakršno koli ojačevanje, ki se odraža v Razreševalnik DNS. Privzeto jeRRL je onemogočen. Če želite več informacij o RRL, glejte te članke:

Zaženiteukaz» cmdlet «SetDNSServerResponseRateLimiting PowerShell, da omogočite RRL s privzetimi vrednostmi. SetDNSServerResponseRateLimiting Če omogočanje RRL povzroči, da so legitimne poizvedbe DNS neuspešne, ker so preveč stisnjene, postopoma povečajo vrednosti za odzive/SECin napake/SEC , dokler strežnik DNS ne odgovori na predhodno neuspešno poizvedbo. Drugi parametri lahko tudi pomagajo skrbnikom, da bolje upravljajo nastavitve RRL. Te nastavitve vključujejo RRL izjeme.

Če želite več informacij, si oglejte ta članek v članku Microsoft docs:  

Pisanje dnevnika in diagnostika DNS

Pogosta vprašanja

V1: ali je zmanjšanje, ki je tukaj povzeto, veljalo za vse različice sistema Windows Server?

A1: ne. Te informacije ne veljajo za Windows Server 2012 ali 2012 R2. Te podedovane različice sistema Windows Server ne podpirajo funkcije RRL, ki zmanjšuje učinek ojačanja, ko ciljni Razreševalnik DNS poizveduje po vaših strežnikih DNS.

Q2: kaj naj storijo stranke, če imajo DNS strežnike, ki prebivajo v omrežjih Edge, ki se izvajajo bodisi Windows Server 2012 ali Windows Server 2012 R2?

A2: Strežniki DNS, ki so na voljo v omrežjih Edge, ki se izvajajo bodisi s sistemom Windows Server 2012 ali Windows Server 2012 R2, morajo biti nadgrajeni na Windows Server 2016 ali novejše različice, ki podpirajo RRL. RRL zmanjša učinek ojačanja, ko se ciljni Razreševalnik DNS poizve za vaše strežnike DNS.

Q3: kako lahko ugotovim, ali RRL povzroča legitimne poizvedbe DNS, da ne uspe?

A3: Če je RRL konfiguriran v načinu prijave , DNS strežnik IZVEDE vse RRL izračune. Vendar pa namesto sprejemanja preventivnih dejanj (na primer spuščanje ali prirezovanje odgovorov) strežnik namesto tega zabeleži možna dejanja, kot če bi RRL omogočili, in nato še naprej zagotavljal običajne odgovore.

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Odkrijte Skupnost

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vprašajte Microsoftovo skupnost

Microsoftova tehnična skupnost

Preskuševalci sistema Windows

Preskuševalci storitve Microsoft 365

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×