80% серверов, защищенных DNSSEC, могут использоваться для усиления DDoS-атак.
Ошибки, допускаемые системными администраторами при настройке конфигурации и управлении DNSSEC, позволяют злоумышленникам использовать казалось бы защищенные системы в DDoS-атаках с отражением DNS. К такому выводу пришли эксперты компании Neustar по результатам проведенного ими исследования.
Как сообщается в отчете Neustar, специалисты протестировали свыше 1300 доменов, защищенных с помощью DNSSEC, и 80% из них можно было использовать для осуществления атак. «Проблемные» домены отвечали на DNS-запрос «ANY», запрашивающий всю информацию о домене – MX-записях, IP-адресах и т.д. В ответ на запрос «ANY» можно получить гораздо больше данных, чем просто запрашивая IP-адрес.
По словам экспертов, записи DNSSEC значительно больше, чем стандартные записи DNS, поскольку содержат хеши цифровых подписей и данные об обмене ключами. Ненадлежащим образом сконфигурированные DNSSEC-серверы могут усилить трафик атакующего в среднем в 28,9 раза. Исследователи отправили 80-байтовый запрос и получили 2313 ответа. Наибольший ответ был получен от защищенного сервера (17 377 байтов – в 217 раз больше самого запроса). Исследования проводились с использованиям рекурсивных серверов, неподконтрольных Neustar.
К сожалению, такое положение дел вызвано не ошибкой, а предусмотренной функцией, поскольку задача системы, даже защищенной с помощью DNSSEC – отвечать на запросы. Из этого следует, что нужно не устанавливать исправление, а просто управлять системами надлежащим образом.
Наш канал — питательная среда для вашего интеллекта