Mystisk angreb mod DNS-rodservere: 5 millioner forespørgsler pr. sekund

Illustration: leowolfert/Bigstock
To gange er DNS-rodserverne inden for kort tid blevet ramt af et usædvanligt DDoS-angreb. Begge gange modstod netværket angrebet, der toppede med 5 millioner forespørgsler pr. sekund.

Først den gode nyhed: DNS-rodserverne formåede at modstå to usædvanligt kraftige angreb inden for to døgn den 30. november og 1. december. Den dårlige nyhed er, at angrebet trods alt var massivt nok til at forårsage kortvarige forstyrrelser, og ingen aner hvem der stod bag, eller hvorfor DNS-netværket blev udsat for angrebet.

I en foreløbig hændelsesrapport fra Root Server-Operatørerne er konklusionen, at det er 'urealistisk at spore trafikken', fordi den ramte DNS-systemet flere steder samtidig.

DNS er i dag sat op med IP-teknologien Anycast, som betyder, at hver server kan bestå af mange forskellige fysiske maskiner, og en forespørgsel vil altid blive dirigeret hen til den maskine, der er tættest på afsenderen både geografisk og målt på svartid.

»Man kan spoofe afsenderadressen, men routingen vil altid gå til den nærmeste server. Derfra kan man følge det 'spike', der vil være i trafikken, til internetudbyderen,« siger Version2-blogger med forstand på netværkssikkerhed og direktør i Solido Networks, Henrik Kramshøj.

I angrebene den 30. november og 1. december blev DNS-systemet imidlertid angrebet mange steder samtidig. Ifølge hændelsesrapporten bestod trafikken af valide DNS-forespørgsler på ét bestemt domæne. Angrebet toppede med op mod fem millioner forespørgsler pr. sekund.

Forespørgslerne blev sendt til de fleste af de 13 DNS-rodservere, der er navngivet A-M, og hver især blev de angrebet ved flere Anycast-punkter.

Anycast blev taget i brug for netop at forhindre DDoS-angreb mod rodserverne og betyder, at eksempelvis L-serveren er spejlet i 128 forskellige datacentre i 127 byer i 68 lande, skriver sikkerhedsblogger Paul Ducklin fra Sophos.

Kombinationen af at have 13 rodservere, der hver især består af mange servere spredt over hele internettet, og Anycast gør DNS-rodserverne ekstremt modstandsdygtige. Kommercielle tjenester som Cloudflare, der er oprettet for at sikre mod både ondsindede og utilsigtede DDoS-situationer, benytter sig også af Anycast.

DNS-systemet registrerede timeouts af valide DNS-forespørgsler på flere lokaliteter under angrebene, og eksempelvis oplevede RIPE afbrydelser på flere af K-serverens Anycast-lokaliteter.

Ifølge RIPE blev der iværksat modforanstaltninger, da det andet angreb begyndte om morgenen den 1. december. Det første angreb varede cirka tre timer, mens det andet stoppede efter én time.

Forespørgsler til DNS-servere sendes videre

For slutbrugerne har angrebet ikke haft mærkbare konsekvenser. Hvis den server, der normalt skulle besvare en forespørgsel, ikke svarer inden for tidsfristen, kan forespørgslen sendes videre.

Da normale DNS-forespørgsler er relativt små, vil et angreb mod DNS skulle ramme en så stor del af DNS, at den resterende del ikke kan følge med.

DNS-rodserverne modtager desuden ikke alle DNS-opslag, men bruges primært til at vedligeholde opdaterede DNS-opslag på lokale servere hos eksempelvis internetudbyderne. Derfor skal et angreb mod DNS skulle vare ved så længe, at den lokale DNS-information når at udløbe.

»Det er et dårligt sted at angribe. Bare der slipper nogle enkelte forespørgsler igennem, så holder systemet ret længe,« siger Henrik Kramshøj.

De to angreb foregik over internetprotokollen UDP, og afsenderne angav afsender-IP-adresser, der tilsyneladende var fordelt tilfældigt over hele IPv4-adresseområdet.

Root Server-operatørerne anbefaler i deres hændelsesrapport, at netværksoperatører anvender Source Address Validation eller BCP-38 (ingress filtering) til at sikre, at forespørgsler kommer fra de IP-adresser, de hævder at være sendt fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Brian Hansen

Ikke fordi sølvpapirshatten strammer så meget her til morgen, men det ville vel være oplagt for en større regeringsmagt at teste hvorvidt det er muligt at lægge internettet på det meste af planeten ned, i tilfælde af de 0,05% badguys kunne finde på at bruge det?

  • 0
  • 0
#2 Robert Voje

Er enig med Brian der, jeg kan ikke se nogen anden grund til at nogen skulle teste dette uden at det var en form for "proof of concept".

Måske vil vi se nogle kilder efterhånden som individuelle ISP'er kikker på deres log filer, hvis de gider..

  • 0
  • 0
#3 Baldur Norddahl

Der er massere der kunne finde på det blot for bragging rights hvis de kunne slippe afsted med at lukke internettet i et par timer.

Det er ikke ret effektivt så tvivler på at det er en regering. Hvis det var lykkedes vil infrastrukturen blive forstærket yderligere foruden at man kan tage simple forholdstiltag som at øge TTL.

  • 2
  • 0
#9 Casper Niebe

Som tidligere nævnt har Google ikke root-servere stående. Men det er på mange måder større og mere sikre institutioner, der administrerer hver af de 13 root servere, herunder NASA, USAs militær, USAs forsvarsministerium, Verisign (der også har visa-kortvalidering), ICANN, RIPE NCC og en række af de helt store internetudbydere i verden. Hertil en række (primært amerikanske) universiteter.

Hvilke to domæner, der blev brugt i angrebene er holdt tæt til kroppen, sandsynligvis af den simple årsag, at de intet havde med angrebene at gøre. Folks nysgerrighed kunne nemt resultere i unødvendig stor belastning på de to domæners webservere, ligesom virksomhederne næppe synes det er super skægt at blive kædet sammen med forsøg på at lægge internettet ned.

Og vedrørende argumenter om, hvem der ellers har DNS-servere stående, så er de jo ikke rod-servere. Alle DNS-servere hos internetudbydere (herunder f.eks. også Google) er afhængige af at kunne kontakte rodserverne, når TTL udløber. Kan de ikke få fat i rodserverne, fordi de er angrebet og derfor ikke svarer, kan der være nok så fint hul igennem til dem uden det hjælper noget. Men som sikkerhedsfolk rigtigt nok påpeger, så ville det kræve at man lykkedes med at holde samtlige rodservere HELT nede i mange, mange timer. Slipper bare enkelte valide forespørgsler igennem, vil der være DNS-servere, der ikke er påvirket af angrebet. Det er en lost cause fra start.

Operatørerne af rodserverne har dog rigtig fine grafer over både forespørgsler og båndbredde-forbrug. Derfor kunne angrebet meget vel være en demonstration af et botnets styrke med fin statistik indbygget. Ikke mange andre tjenester ville modstå angrebet i en grad, hvor man kunne vurdere den fulde styrke af angrebet efterfølgende.

  • 4
  • 0
Log ind eller Opret konto for at kommentere