Domain Name System, czyli System Nazw Domenowych jest jednym z podstawowych założeń i elementów w funkcjonowaniu całego Internetu. Jego rolę można porównać do książki telefonicznej z numerami używanymi przez komputery i serwery do komunikacji. Te numery to adresy IP.
Takie katalogi nazw i adresów IP przechowywane są na serwerach hostujących usługę DNS na całym Świecie. Istnieją zarówno serwery prywatne, do użytku wewnętrznego w organizacji, jak i publiczne przechowujące informacje o witrynach i aplikacjach webowych rozsianych po całym Internecie.
DNS ma więc ogromne znaczenie w funkcjonowaniu sieci publicznej i prywatnej. Jakakolwiek niedostępność tej usługi powoduje, że każde zapytanie o nazwę (strony internetowej, serwera, aplikacji) nie zostanie rozpoznane i nie będzie możliwe nawiązanie połączenia.
Ciekawostka: na Świecie istnieje 13 publicznych serwerów DNS najwyższego rzędu, tzw. root name servers. Każdy z nich kontrolowany jest przez inną niezależną od siebie organizację. Serwery te rozszywają nazwy domen, bez których Internet nie byłby w stanie funkcjonować, np. „com”, „eu”, „pl” i inne. Możecie się domyślić, że udane zaatakowanie któregoś z nich spowoduje niedostępność sporej części Internetu na Świecie. Nie jest to jednak takie proste. Obecnie, fizycznych instancji tych serwerów nie jest tylko 13, a około 900 (fizyczne kopie) i rozsiane są po całym globie, aby wydajność Internetu była wysoka z każdej lokalizacji.
Pomimo znaczenia serwerów i usługi DNS, jest ona często pomijana i traktowana pobłażliwie jeśli chodzi o odpowiednie zabezpieczenie. W organizacjach powszechnie przyjęło się zwracać większą uwagę na zapory sieciowe, serwery proxy, czy ochronę końcówek.
DNS coraz częściej jest celem cyberataków. O zaawansowanych atakach na DNS pisaliśmy w artykule o Malware DNS, a wykorzystaniu protokołu DNS do wykonywania zdalnie złośliwych komend pisaliśmy tutaj.
Jednak to, co cyberprzestępcy robią najczęściej to przejmują serwery DNS i manipulują wpisami powodując, że zgłaszane są inne adresy IP niż jest w rzeczywistości. Pozwala to na oszukiwanie ofiar i wyświetlanie innej witryny niż tą, o którą pyta użytkownik. Co więcej, pozwala na przekierowywanie wiadomości e-mail do innych adresatów, czy nawet wzmacnianie ataku DDoS poprzez przekierowywanie ruchu na jeden konkretny adres w sieci.
Takie działania są prawie niemożliwe do wykrycia. Użytkownik nie będzie znał powodu, dlaczego jego e-mail nie dotarł do adresata, czy dlaczego nie może wyświetlić strony, którą znalazł w Google. Najlepszym sposobem obrony jest jak zwykle prewencja i odpowiednie zabezpieczenie serwerów i usług DNS.
Raport z ataków i zagrożeń na DNS z 2018 roku
W 2018 roku ataki na usługi DNS oraz z wykorzystaniem protokołu DNS przyniosły poważne problemy na całym Świecie. Zgodnie z raportem 2018 Global DNS Threat Report organizacji EfficientIP – 77% badanych korporacji doświadczyło ataków DNS w ciągu ostatniego roku od daty opublikowania raportu. Raport pokazał również, że 20% globalnych organizacji padło ofiarą tunelowania DNS, co jest ulubioną techniką wykorzystywaną przez hackerów, ponieważ jest prosta do przeprowadzenia i trudna do wykrycia.
Niektóre z najciekawszych informacji z raportu:
- 16 latek, który przez 12 miesięcy wyciągał pliki z serwerów Apple poprzez tunel DNS. Uzyskał dostęp do 90 gigabajtów danych, a wszystko zrobił ze swojego domu w Melbourne. Był to doskonały przykład tego, jak hackerzy przechodzą przez firewalle i nie są wykrywani nawet przez największe organizacje.
- Ataki DNS dotknęły kilka dużych banków. Na przykład Bank Królewski w Szkocji przyznał się, że był jedną z ofiar.
- Gdy organizacja staje w obliczu ataku DNS, może to wiązać się z olbrzymimi stratami finansowymi. W przypadku ataków na organizacje finansowe w 2018 r. koszty wyniosły średnio 934 390 dolarów, nie wliczając w to oczywiście strat związanych z uszkodzeniem wizerunku marki i lokalności klientów.
Kilka porad bezpieczeństwa
Wypisaliśmy kilka najważniejszych porad i najlepszych praktyk odnośnie zabezpieczenia się przed atakami DNS. Kierowanie się poniższymi zaleceniami z pewnością pomoże zmniejszyć ryzyko ataku.
- Analizuj ruch sieciowy pod kątem nietypowych zapytań i połączeń. Zwróć uwagę o wewnętrzne zapytania DNS o nietypowe nazwy oraz o przychodzące zapytania DNS z zewnętrznych adresów.
- Wykorzystuj publiczne rekordy DNS w celu zobaczenia wszystkich swoich stref i poddomen. Dzięki temu można w prosty sposób przeprowadzić audyt własnych wpisów i sprawdzenie, czy są aktualne. Pozostawienie zaszłości w DNS często powoduje błędy w działaniu aplikacji, ale także pozawala na wykorzystanie podatności w starych wersjach oprogramowania.
- Nie ufaj dostawcom chmury, że Twój DNS jest przez nich w pełni chroniony.
- Myśl o strategii bezpieczeństwa holistycznie, tzn. wdrażaj wiele warstw zabezpieczeń dla każdego zasobu. Prewencja zawsze jest lepsza niż wykrywanie istniejącego ataku. Jeśli chodzi o DNS, skup się na monitorowanie ruchu sieciowego oraz komend Powershell pytających o rekordy DNS wewnątrz organizacji. Przykład takiego ataku opisywaliśmy tutaj.
- Pomyśl o wdrożeniu specjalistycznych narzędzi, takich jak DNS Firewall.
- Zapobiegnij atakom typu DNS Poisoning poprzez wyłączenie opcji DNS recursion na swoich serwerach nazw domenowych.
Jeśli padniesz ofiarą ataku DNS może to sparaliżować Twoją sieć, a także doprowadzić o kradzieży poufnych danych z organizacji. Poprzez protokół DNS można przejąć kontrolę nad innymi zasobami w sieci. Jest to niezwykle trudny do wykrycia atak i wymaga wdrożenia specjalistycznych narzędzi do monitorowania anomalii w sieci. Liczba ataków na DNS podwoiła się na przestrzeni roku!