Mystisk angreb mod DNS-rodservere: 5 millioner forespørgsler pr. sekund

14. december 2015 kl. 06:289
To gange er DNS-rodserverne inden for kort tid blevet ramt af et usædvanligt DDoS-angreb. Begge gange modstod netværket angrebet, der toppede med 5 millioner forespørgsler pr. sekund.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Først den gode nyhed: DNS-rodserverne formåede at modstå to usædvanligt kraftige angreb inden for to døgn den 30. november og 1. december. Den dårlige nyhed er, at angrebet trods alt var massivt nok til at forårsage kortvarige forstyrrelser, og ingen aner hvem der stod bag, eller hvorfor DNS-netværket blev udsat for angrebet.

I en foreløbig hændelsesrapport fra Root Server-Operatørerne er konklusionen, at det er 'urealistisk at spore trafikken', fordi den ramte DNS-systemet flere steder samtidig.

DNS er i dag sat op med IP-teknologien Anycast, som betyder, at hver server kan bestå af mange forskellige fysiske maskiner, og en forespørgsel vil altid blive dirigeret hen til den maskine, der er tættest på afsenderen både geografisk og målt på svartid.

»Man kan spoofe afsenderadressen, men routingen vil altid gå til den nærmeste server. Derfra kan man følge det 'spike', der vil være i trafikken, til internetudbyderen,« siger Version2-blogger med forstand på netværkssikkerhed og direktør i Solido Networks, Henrik Kramshøj.

Artiklen fortsætter efter annoncen

I angrebene den 30. november og 1. december blev DNS-systemet imidlertid angrebet mange steder samtidig. Ifølge hændelsesrapporten bestod trafikken af valide DNS-forespørgsler på ét bestemt domæne. Angrebet toppede med op mod fem millioner forespørgsler pr. sekund.

Forespørgslerne blev sendt til de fleste af de 13 DNS-rodservere, der er navngivet A-M, og hver især blev de angrebet ved flere Anycast-punkter.

Anycast blev taget i brug for netop at forhindre DDoS-angreb mod rodserverne og betyder, at eksempelvis L-serveren er spejlet i 128 forskellige datacentre i 127 byer i 68 lande, skriver sikkerhedsblogger Paul Ducklin fra Sophos.

Kombinationen af at have 13 rodservere, der hver især består af mange servere spredt over hele internettet, og Anycast gør DNS-rodserverne ekstremt modstandsdygtige. Kommercielle tjenester som Cloudflare, der er oprettet for at sikre mod både ondsindede og utilsigtede DDoS-situationer, benytter sig også af Anycast.

Artiklen fortsætter efter annoncen

DNS-systemet registrerede timeouts af valide DNS-forespørgsler på flere lokaliteter under angrebene, og eksempelvis oplevede RIPE afbrydelser på flere af K-serverens Anycast-lokaliteter.

Ifølge RIPE blev der iværksat modforanstaltninger, da det andet angreb begyndte om morgenen den 1. december. Det første angreb varede cirka tre timer, mens det andet stoppede efter én time.

Forespørgsler til DNS-servere sendes videre

For slutbrugerne har angrebet ikke haft mærkbare konsekvenser. Hvis den server, der normalt skulle besvare en forespørgsel, ikke svarer inden for tidsfristen, kan forespørgslen sendes videre.

Da normale DNS-forespørgsler er relativt små, vil et angreb mod DNS skulle ramme en så stor del af DNS, at den resterende del ikke kan følge med.

Artiklen fortsætter efter annoncen

DNS-rodserverne modtager desuden ikke alle DNS-opslag, men bruges primært til at vedligeholde opdaterede DNS-opslag på lokale servere hos eksempelvis internetudbyderne. Derfor skal et angreb mod DNS skulle vare ved så længe, at den lokale DNS-information når at udløbe.

»Det er et dårligt sted at angribe. Bare der slipper nogle enkelte forespørgsler igennem, så holder systemet ret længe,« siger Henrik Kramshøj.

De to angreb foregik over internetprotokollen UDP, og afsenderne angav afsender-IP-adresser, der tilsyneladende var fordelt tilfældigt over hele IPv4-adresseområdet.

Root Server-operatørerne anbefaler i deres hændelsesrapport, at netværksoperatører anvender Source Address Validation eller BCP-38 (ingress filtering) til at sikre, at forespørgsler kommer fra de IP-adresser, de hævder at være sendt fra.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
14. december 2015 kl. 21:03

Som tidligere nævnt har Google ikke root-servere stående. Men det er på mange måder større og mere sikre institutioner, der administrerer hver af de 13 root servere, herunder NASA, USAs militær, USAs forsvarsministerium, Verisign (der også har visa-kortvalidering), ICANN, RIPE NCC og en række af de helt store internetudbydere i verden. Hertil en række (primært amerikanske) universiteter.

Hvilke to domæner, der blev brugt i angrebene er holdt tæt til kroppen, sandsynligvis af den simple årsag, at de intet havde med angrebene at gøre. Folks nysgerrighed kunne nemt resultere i unødvendig stor belastning på de to domæners webservere, ligesom virksomhederne næppe synes det er super skægt at blive kædet sammen med forsøg på at lægge internettet ned.

Og vedrørende argumenter om, hvem der ellers har DNS-servere stående, så er de jo ikke rod-servere. Alle DNS-servere hos internetudbydere (herunder f.eks. også Google) er afhængige af at kunne kontakte rodserverne, når TTL udløber. Kan de ikke få fat i rodserverne, fordi de er angrebet og derfor ikke svarer, kan der være nok så fint hul igennem til dem uden det hjælper noget. Men som sikkerhedsfolk rigtigt nok påpeger, så ville det kræve at man lykkedes med at holde samtlige rodservere HELT nede i mange, mange timer. Slipper bare enkelte valide forespørgsler igennem, vil der være DNS-servere, der ikke er påvirket af angrebet. Det er en lost cause fra start.

Operatørerne af rodserverne har dog rigtig fine grafer over både forespørgsler og båndbredde-forbrug. Derfor kunne angrebet meget vel være en demonstration af et botnets styrke med fin statistik indbygget. Ikke mange andre tjenester ville modstå angrebet i en grad, hvor man kunne vurdere den fulde styrke af angrebet efterfølgende.

8
14. december 2015 kl. 18:19

Ifølge hændelsesrapporten bestod trafikken af valide DNS-forespørgsler på ét bestemt domæne.

Men hvilket domæne, kunne være lidt interessant :-)

4
14. december 2015 kl. 11:04

Er vel at lukke Internet for ISP'er der ikke laver filtrering på source af udgående trafik. Giv dem nogle måneder, og så vær hård.

3
14. december 2015 kl. 10:28

Der er massere der kunne finde på det blot for bragging rights hvis de kunne slippe afsted med at lukke internettet i et par timer.

Det er ikke ret effektivt så tvivler på at det er en regering. Hvis det var lykkedes vil infrastrukturen blive forstærket yderligere foruden at man kan tage simple forholdstiltag som at øge TTL.

2
14. december 2015 kl. 09:41

Er enig med Brian der, jeg kan ikke se nogen anden grund til at nogen skulle teste dette uden at det var en form for "proof of concept".

Måske vil vi se nogle kilder efterhånden som individuelle ISP'er kikker på deres log filer, hvis de gider..

1
14. december 2015 kl. 08:11

Ikke fordi sølvpapirshatten strammer så meget her til morgen, men det ville vel være oplagt for en større regeringsmagt at teste hvorvidt det er muligt at lægge internettet på det meste af planeten ned, i tilfælde af de 0,05% badguys kunne finde på at bruge det?