Mitigation Strategies
While DNS amplification attacks pose a significant threat, there are mitigation strategies that organizations can implement to protect themselves. These strategies involve both proactive measures to prevent attacks and reactive measures to minimize damage if an attack occurs. By adopting best practices for DNS configuration and network security, businesses can reduce their vulnerability to these disruptive events.
Preventative measures are particularly important. Organizations must ensure that their DNS servers are properly configured to resist being co-opted into an attack. This includes disabling recursion for external queries or implementing rate limiting to prevent servers from being overwhelmed by requests.
Nguyên lý của cuộc tấn công bằng DNS amplification
Các cuộc tấn công DNS amplification đều khai thác sự chênh lệch về lưu lượng truy cập giữa kẻ tấn công và nguồn tài nguyên web được nhắm mục tiêu. Khi sự chênh lệch này được khuếch đại qua nhiều yêu cầu, khối lượng lưu lượng kết quả có thể làm gián đoạn cơ sở hạ tầng mạng. Bằng cách gửi các yêu cầu nhỏ nhưng có thời gian phản hồi lớn, nhân bản quá trình này bằng cách có mỗi bot trong một botnet đưa ra các yêu cầu tương tự, kẻ tấn công được che giấu khỏi việc bị phát hiện và thu được lợi ích từ lưu lượng tấn công tăng đáng kể.
Một bot đơn lẻ trong một cuộc tấn công DNS amplification có thể được hiểu trong bối cảnh một khách hàng xấu tính gọi đến một nhà hàng và nói “Tôi sẽ mua 100 cái bánh kem, hãy gọi lại và cho tôi biết đã làm được bao nhiêu cái bánh kem rồi”. Khi nhà hàng yêu cầu một số điện thoại để gọi lại, số điện thoại được cung cấp chính là số điện thoại của nạn nhân bị nhắm mục tiêu. Sau đó, mục tiêu nhận được một cuộc gọi từ nhà hàng với rất nhiều thông tin mà họ không yêu cầu.
Kết quả là mỗi bot gửi yêu cầu đến các máy chủ DNS với một địa chỉ IP giả mạo, được thay đổi thành địa chỉ IP nguồn thực của nạn nhân bị nhắm mục tiêu. Sau đó, mục tiêu nhận được một phản hồi từ các máy chủ DNS. Để tạo ra một lượng lớn lưu lượng truy cập, kẻ tấn công cấu trúc yêu cầu sao cho tạo ra phản hồi lớn nhất có thể từ các máy chủ DNS. Kết quả là mục tiêu nhận được sự khuếch đại của lưu lượng truy cập ban đầu của kẻ tấn công, và mạng của họ trở nên tắc nghẽn với lưu lượng truy cập giả mạo, gây ra tình trạng từ chối dịch vụ.
Nguyên lý của cuộc tấn công bằng DNS amplification
DNS Amplification Protection with Bright
Bright automatically scans your apps and APIs for hundreds of vulnerabilities. The generated reports are false-positive free, as Bright validates every finding before reporting it to you. The reports come with clear remediation guidelines for your team and thanks to Bright’s integration with ticketing tools, assigning a finding to a developer for fixing is easily done.
Try Bright for free – Register for a Bright account
Một cuộc tấn công DNS amplification là một cuộc tấn công DDoS bằng cách tăng cường lưu lượng truy cập thông qua sử dụng các DNS resolvers mở
Detection and Response
Organizations must have the capability to distinguish between legitimate traffic and the anomalous patterns that signal an ongoing attack. This detection requires a combination of sophisticated tools and vigilant monitoring. Once an attack is detected, having an incident response plan in place is vital for minimizing damage and restoring services as quickly as possible.
Incident response plans should outline the steps that need to be taken by various teams within an organization to address the attack. This includes IT and security teams along with communications and customer service teams that will manage the discussions with external-facing stakeholders.
Best Practices for DNS Configuration
Securing DNS servers is a critical step in mitigating DNS amplification attacks. This involves configuring servers to avoid responding to recursive queries from unknown sources, which can significantly reduce the risk of being used in an attack. Additionally, limiting the size and rate of DNS responses can help prevent servers from being used to generate massive volumes of traffic.
Another key practice is the regular monitoring and auditing of DNS traffic. By analyzing traffic patterns, organizations can identify potential threats and take steps to address them before they escalate into disruptive attacks. This proactive approach is essential for maintaining the integrity of DNS services.
Snapshots are good. Continuous security testing is better.
Modern, enterprise-grade security testing for web, API, business logic, and LLMs at the speed of deployment.
Một cuộc tấn công gia tăng DNS có thể được chia thành bốn bước:
Bước 1: Kẻ tấn công sử dụng một thiết bị đã bị xâm nhập để gửi các gói UDP với địa chỉ IP giả mạo đến một DNS recursor. Địa chỉ giả mạo trên các gói tin trỏ đến địa chỉ IP thật của nạn nhân.
Bước 2: Mỗi gói tin UDP yêu cầu một DNS resolver, thường truyền một đối số như “ANY” để nhận được phản hồi lớn nhất có thể.
Bước 3: Sau khi nhận yêu cầu, DNS resolver cố gắng giúp đỡ bằng cách gửi phản hồi lớn đến địa chỉ IP giả mạo.
Bước 4: Địa chỉ IP của mục tiêu nhận được phản hồi và cơ sở hạ tầng mạng xung quanh trở nên quá tải với lượng lớn lưu lượng, dẫn đến một cuộc tấn công chối dịch dịch vụ.
Mặc dù một vài yêu cầu không đủ để làm ngưng trệ cơ sở hạ tầng mạng, khi chuỗi này được nhân lên trên nhiều yêu cầu và DNS resolver, sự gia tăng dữ liệu mà mục tiêu nhận được có thể rất đáng kể.
How Check Point Mitigates DNS Amplification Attacks
By taking advantage of the amplification effect provided by DNS, an attacker can launch a much larger attack than they could directly. However, DNS isn’t the only DDoS amplification option available, nor is it even the one with the greatest amplification factor.
Protecting against DNS amplification and other DDoS attacks requires a DDoS mitigation solution that can filter attack traffic and legitimate traffic before it reaches the target server.
Check Point Quantum DDoS Protector offers real-time attack detection and prevention for DDoS attacks up to 800 Gbps, providing robust protection against the DDoS threat. For more information about Quantum DDoS Protector and its capabilities, check out this datasheet.
Xác thực địa chỉ IP nguồn – ngăn chặn các gói tin giả mạo rời khỏi mạng
Bởi vì các yêu cầu UDP được gửi bởi botnet của kẻ tấn công phải có địa chỉ IP nguồn giả mạo đến địa chỉ IP của nạn nhân, một thành phần quan trọng trong việc giảm hiệu quả của các cuộc tấn công khuếch đại dựa trên UDP là để các nhà cung cấp dịch vụ Internet (ISP) từ chối bất kỳ lưu lượng nội bộ nào với địa chỉ IP giả mạo. Nếu một gói tin đang được gửi từ bên trong mạng với địa chỉ nguồn làm cho nó có vẻ như nó xuất phát từ bên ngoài mạng, nó có thể là một gói tin giả mạo và có thể bị từ chối. Tenten đề nghị rằng tất cả các nhà cung cấp triển khai bộ lọc nhập (ingress filtering), và đôi khi sẽ liên hệ với các nhà cung cấp dịch vụ Internet (ISP) đang không biết rằng họ đang tham gia vào các cuộc tấn công DDoS và giúp họ nhận ra mức độ tổn thất của mình.
Detecting and Mitigating DNS Reflection-Amplification Attacks
It is sometimes possible to detect a reflection-amplification attack before the amount of traffic is enough to impact the availability of the service. However, this quick response time generally demands highly aggressive responsiveness and monitoring, or services offered by an upstream network provider.
Common network throughput monitoring tools including SNMP, netflow, and custom scripts can help bring your attention to dramatic increases in service or network utilization. Automated, qualitative, and real-time examination of network traffic might locate an unexpected surge in one sort of protocol that could be utilized to identify a reflection amplification DoS event when it begins. Generally, the lead time could be short and the indicator of a network’s event availability or service falls.
Related content: Read our guide to dns flood attack.