Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Apstraktni

19. maj, 2020, Microsoft je objavio bezbednosni savetodavni ADV200009. U ovom savetodavnom članku opisan je napad na DNS pojačavanje koji su identifikovali izraelski istraživači. Napad, poznat kao Nxnsnapad, može biti usmeren na bilo koji DNS server, uključujući Microsoft DNS i POVEŽETE servere koji su ovlašćeni za DNS zonu.

Za DNS servere koji se nalaze na korporativnoj intranets, Microsoft ocenjuje rizik ovog iskorišćavanja kao nizak. Međutim, DNS serveri koji žive na ivici mreže su podložni Nxnsnapadu. Windows Server 2016 DNS serveri koji se nalaze na ivici mreže trebalo bi da budu nadograđeni na Windows Server 2016 ili novije verzije koje podržavaju ograničenje brzine odziva (RRL). RRL smanjuje efekat pojačavanja kada se Ciljno DNS razrešivač upita za DNS servere.  

Simptomi

Kada se pravi napad na DNS pojačavanje, možete da posmatrate jedan ili više sljedećih simptoma na serveru na kojem je on uključen:

  • Iskorišćenost CPU-a za DNS je puna.

  • Povećanje vremena odziva na DNS-u može da se zaustavi.

  • Vaš server za potvrdu identiteta generiše neočekivani broj odgovora NXDOMAIN.

Pregled napada

DNS serveri su oduvek bili podložni nizu napada. Iz tog razloga, DNS serveri se obično stavljaju iza opterećenja i zaštitnih zidova u DMZ.

Da bi se ova ranjivost iskorišćavao napadač bi morao da ima više DNS klijenata. To bi obično obuhvatilo i botnet, pristup desetinama ili stotine DNS neodlučne koji su sposobni da pojačaju napad, kao i specijalizovanu uslugu DNS servera.

Ključ napada je specijalno napravljen napadač DNS server koji je ovlašćen za domen koji poseduje napadač. Da bi napad bio uspešan, DNS odlučna mora da zna kako da stigne do njegovog domena i DNS servera. Ova kombinacija može da proizvede mnogo komunikacije između rekurzivnih i autoritnog DNS servera žrtve. Rezultat je DDoS napad.

Ranjivost za MS DNS na korporativnoj intranets

Unutrašnji, privatni domeni se ne mogu ponovo da koriste u osnovnim Nagoveštima i DNS serverima najvišeg nivoa. Kada pratite najbolje prakse, DNS serveri koji su ovlašćeni za privatne, interne domene, kao što su domeni aktivnog direktorijuma, ne može se pristupiti sa interneta.

Iako se Nxnsnapad na unutrašnji domen iz interne mreže tehnički može, to zahteva zlonamerni korisnik na internoj mreži koji ima pristup na nivou administratora da konfiguriše interne DNS servere tako da na DNS servere u domenu napadača. Ovaj korisnik takođe mora da kreira zlonamernu zonu na mreži i postavi poseban DNS server koji može da izvršava Nxnsnapad na korporativnoj mreži. Korisnik koji ima ovakav nivo pristupa uglavnom će biti na tome da najavljuje njihovo prisustvo inicom velikog napada DNS DDoS.  

Ranjivost za MS DNS-ovu sa ivicom

DNS razrešivač na Internetu koristi korijenske savete i servere domena najvišeg nivoa (TLD) za otklanjanje nepoznatih DNS domena. Napadač može da koristi ovaj javni DNS sistem da koristi bilo koji DNS razrešivač koji se suočava sa Internetom da bi pokušao da pokuša da izrekne pojačavanje napada. Nakon što je otkriven vektor pojačavanja, može se koristiti kao deo napada za uskraćivanje usluga (DDoS) na bilo koji DNS server koji hostuje javni DNS domen (domen žrtve).

Edge DNS server koji se ponaša kao razrešivač ili viljušder može da se koristi kao vektor pojačavanja za napad ako su dozvoljene neovlašćene dolazne DNS upiti koji potiču sa interneta. Javni pristup omogućava zlonamernom DNS klijentu da koristi razrešivač kao deo celokupnog napada pojačavanja.

Pouzdane DNS serveri za javne domene moraju dozvoliti nepristigle dolazne DNS saobraćaj od odlučne vere koji rade Rekurzivne kontrole iz vrhovnih saveta i TLD DNS infrastrukture. U suprotnom, pristup domenu nije uspeo. To dovodi do toga da svi pouzdane DNS serveri budu moguće žrtve Nxnsnapada. Microsoft DNS serveri koji se suočavaju sa ivicom trebalo bi da pokrenu Windows Server 2016 ili noviju verziju da bi dobili podršku za RRL.

Rešenje

Da biste rešili ovaj problem, koristite sledeći metod za odgovarajući tip servera.

Za MS DNS servere koji se suočavaju sa internom mrežom

Rizik od ovog iskorišćavanja je nizak. Nadgledajte interne DNS servere za neobičan saobraćaj. Onemogućite interne Nxnsnapadače koji se nalaze na intranetu Vaše kompanije kada su otkriveni.

Za pouzdane DNS servere koji se suočavaju sa ivicom

Omogućite RRL koji podržava Windows Server 2016 i novije verzije Microsoft DNS-a. Korišćenje RRL-a na DNS neodlučno umanjuje početni pojačavanje napada. Korišćenje RRL na javnom domenu autoritativan DNS server smanjuje sve pojačavanje koje se odražava na DNS razrešivač. PodrazumevanoRRL je onemogućena. Više informacija o RRL potražite u sledećim člancima:

Pokrenite setdnsserverresponseratelimprodPowerShell cmddozvoli da omogući rrl pomoću podrazumevanih vrednosti. Ako omogućavanje rrl uzrokuje da legalni DNS upiti ne uspeju jer su previše prezbijeni, uvećani povećavaju vrednosti za odgovor/seci greške/sek samo dok DNS server ne reaguje na prethodno pogrešne upite. Drugi parametri takođe mogu pomoći administratorima da bolje upravljaju postavkama RRL. Ove postavke uključuju izuzetke RRL.

Za više informacija pogledajte sledeći članak u Microsoft Doks:  

DNS Evidentiranje i dijagnostika

Najčešće postavljana pitanja

Q1: da li se skraćivanje koje se rezimira primenjuje na sve verzije sistema Windows Server?

A1: ne. Ove informacije se ne odnose na Windows Server 2012 ili 2012 R2. Ove zastarele verzije sistema Windows Server ne podržavaju funkciju RRL koja smanjuje efekat pojačavanja kada ciljani DNS razrešivač upita DNS servere.

Q2: šta korisnici treba da urade ako imaju DNS servere koji se nalaze na ivicama mreža koje rade pod operativnim sistemom Windows Server 2012 ili Windows Server 2012 R2?

A2: DNS serveri koji se nalaze na Edge mrežama koje rade pod operativnim sistemom Windows Server 2012 ili Windows Server 2012 R2 trebalo bi nadograditi na Windows Server 2016 ili novije verzije koje podržavaju RRL. RRL smanjuje efekat pojačavanja kada se Ciljno DNS razrešivač upita za DNS servere.

Q3: Kako mogu da utvrdim da li RRL uzrokuje neuspeh legitimnog DNS upita?

A3: Ako je RRL konfigurisana za režim " samo za logif ", DNS server izvršava sva izračunavanja rrl. Međutim, umesto da preduzimaju preventivne radnje (kao što su odlaganje ili odsecanje odgovora), server će umesto toga zapisati potencijalne radnje kao da su omogućeni RRL, a zatim nastavlja da obezbeđuje uobičajene odgovore.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×