Перейти до основного
Підтримка
Вхід
Вхід за допомогою облікового запису Microsoft
Увійдіть або створіть обліковий запис.
Вітаємо,
Виберіть інший обліковий запис.
У вас є кілька облікових записів
Виберіть обліковий запис, за допомогою якого потрібно ввійти.

Загальні відомості

Абстрактні

19 травня 2020 р. корпорація Майкрософт випустила консультативний захист ADV200009. У цій статті наведено рекомендації з посилення DNS-атак, визначених ізраїльськими дослідниками. Атака, відома як NXNSAttack, може націлити будь-який DNS-сервер, зокрема DNS-сервери Microsoft і BIND, які є авторитетними для зони DNS.

Для DNS-серверів, які знаходяться в корпоративному інтрамережі, корпорація Майкрософт ризикує використовувати цей рівень. Однак DNS-сервери, які проживають на EDGE-мережах, вразливими для NXNSAttack. DNS-сервери, що мають доступ до Windows Server 2016, які проживають на EDGE-мережах, потрібно оновити до Windows Server 2016 або пізніші версії, які підтримують обмеження частоти відповіді (RRL). RRL зменшує ефект підсилення, коли цільовий визначник DNS надсилає запити DNS-серверів.  

Ознаки

Під час атаки підсилення DNS може виникнути один або кілька з наведених нижче симптомів на уражених серверах:

  • Використання ЦП для служби DNS підвищене.

  • Час відгуку DNS збільшиться, і відповіді можуть припинити роботу.

  • Неочікувана кількість відповідей NXDOMAIN створюється сервером автентифікації.

Огляд атаки

DNS-сервери завжди вразливі для масиву атак. З цієї причини DNS-сервери зазвичай розміщуються позаду завантаження balancers і брандмауерів в ДМЗ.

Щоб скористатися цією вразливістю, зловмисник повинен мати кілька клієнтів DNS. Зазвичай це включає в себе ботнет, доступ до десятків або сотень DNS-розв'язувачів, які здатні підсилюючи атаку, а також спеціалізовані служби DNS-сервера зловмисника.

Ключем до атаки є спеціально створений зловмисником DNS-сервера, який є авторитетним для домену, який має власник атакуючий. Щоб отримати відповідний удар, потрібно знати, як досягти домену зловмисника та DNS-сервера. Це поєднання може генерувати багато спілкування між рекурсивними розв'язуваннями та авторитетним DNS-сервером жертви. Результат – це атака на DDoS.

Уразливість служби MS DNS на корпоративному інтранет

Внутрішні, приватні домени не розв'язні через кореневі підказки та DNS-сервери доменів верхнього рівня. Коли ви прямуєте за кращими практиками, DNS-сервери, які є авторитетними для приватних, внутрішніх доменів, наприклад доменів Active Directory, недоступні в Інтернеті.

Незважаючи на те, що для внутрішнього домену з внутрішньої мережі є технічно можливо, це може знадобитися Зловмисний користувач у внутрішній мережі, який має доступ на рівні адміністратора, щоб настроїти внутрішні DNS-сервери, щоб вони вказували на сервери DNS в домені зловмисника. Цей користувач також має мати можливість створювати зловмисну зону в мережі та розмістити спеціальний DNS-сервер, який здатен виконувати Nxnsattдля корпоративної мережі. Користувач, який має цей рівень доступу, зазвичай дає можливість використовувати стелс, оголосивши свою присутність, започатковюючи дуже видимий напад DDoS для атак DNS.  

Дефект для служби MS DNS із EDGE-обличчям

Визначник DNS в Інтернеті використовує кореневі підказки та сервери доменів верхнього рівня (TLD) для вирішення невідомих доменів DNS. Зловмисник може використовувати цю загальнодоступну систему DNS для використання будь-якого засобу визначення DNS для Інтернету, щоб спробувати підсилення Nxnsattt. Після виявлення підсилення вектора, його можна використовувати як частину відмови служби (DDoS) на будь-якому сервері DNS, на якому розміщено загальнодоступний домен DNS (домен жертви).

Сервер EDGE DNS, який діє як засіб розв'язання або експедитора, можна використовувати як вектор підсилення для атак, якщо дозволено небажані вхідні запити DNS, які походять з Інтернету. Загальнодоступний доступ дає змогу зловмисному клієнту DNS використовувати засіб розв'язання як частину загальної атаки підсилення.

Авторитетні DNS-сервери для загальнодоступних доменів мають дозволити несанкціонованих вхідних трафіку DNS від resrovers, які виконують Рекурсивні підстановки в інфраструктурі кореневих підказок і TLD DNS. В іншому разі доступ до домену не вдасться. Це призводить до того, що всі авторитетні DNS-сервери загальнодоступного домену можуть бути жертвами NXNSAttack. На основі EDGE-серверів DNS Microsoft слід запустити Windows Server 2016 або пізнішу версію, щоб отримати підтримку RRL.

Спосіб вирішення

Щоб вирішити цю проблему, використайте наведений нижче метод для відповідного типу сервера.

Для інтрамереж DNS-серверів MS

Ризик цього експлойт має низьку рівень. Відстежуйте внутрішні DNS-сервери для незвичайного трафіку. Вимкніть внутрішні NXNSAttackers, які проживають в корпоративній інтрамережі, коли вони виявляються.

Для авторитетних DNS-серверів, що стоять перед EDGE

Увімкніть RRL, що підтримується в ОС Windows Server 2016 і пізніші версії Microsoft DNS. Використання RRL в службі DNS resrovers мінімізує початкове підсилення атак. Використання RRL на авторитетним DNS-сервері в загальнодоступному домені зменшує будь-які підсилення, які відображаються в розпізнавача DNS. За замовчуваннямRRL вимкнуто. Щоб отримати докладніші відомості про RRL, ознайомтеся з такими статтями:

Запустіть командлет PowerShell SetDNSServerResponseRateLimiting, щоб увімкнути rrl за допомогою значень за замовчуванням. Якщо ввімкнути rrl законні запити DNS на провал, оскільки їх обмежено надто щільно, поступового збільшення значень для відповідей/секі помилок і параметрів сек , лише доки DNS-сервер не реагує на попередні запити. Інші параметри можуть також допомогти адміністраторам краще керувати настройками RRL. Ці параметри містять винятки RRL.

Докладні відомості наведено в наведених нижче статтях документів Microsoft:  

Журналювання та діагностика DNS

Запитання й відповіді

Q1: чи відповіді на всі версії Windows Server, що підсумовуються, буде застосовано таке пом'якшення?

A1: Ні. Ця інформація не стосується Windows Server 2012 або 2012 R2. Ці застарілі версії Windows Server не підтримують функцію RRL, що зменшує ефект підсилення, коли цільовий визначник DNS надсилає запити DNS-серверів.

Q2: що робити клієнти, якщо у них є DNS-сервери, які знаходяться в мережах EDGE, які працюють у Windows Server 2012 або Windows Server 2012 R2?

A2: DNS-сервери, які проживають на EDGE-мережах, які працюють на платформі Windows Server 2012 або Windows Server 2012 R2, потрібно оновити до Windows Server 2016 або пізніші версії, які підтримують RRL. RRL зменшує ефект підсилення, коли цільовий визначник DNS надсилає запити DNS-серверів.

Q3: як визначити, чи є RRL заподіює законну DNS-запити на невдачу?

A3: Якщо RRL настроєно на режим LogOnly , DNS-сервер виконує всі розрахунки rrl. Однак, замість превентивних дій (наприклад, видалення або скорочення відповідей), сервер реєструє потенційні дії, як-от RRL, а потім продовжує надавати звичні відповіді.

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Виявити Спільнота

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей

Спільноти допомагають ставити запитання й відповідати на них, надавати відгуки та дізнаватися думки висококваліфікованих експертів.

Запитайте спільноту Microsoft

Спільнота Microsoft Tech

Оцінювачі Windows

Оцінювачі Microsoft 365

Чи ця інформація була корисною?

Наскільки ви задоволені якістю мови?
Що вплинуло на ваші враження?
Натиснувши кнопку "Надіслати", ви надасте свій відгук для покращення продуктів і служб Microsoft. Ваш ІТ-адміністратор зможе збирати ці дані. Декларація про конфіденційність.

Дякуємо за відгук!

×