5 .2 DDoS-атаки отражением от dns-серверов

Рис. 5.2.1 Атака отражением от DNS-серверов

Основная идея атаки отражением от DNS-серверов базируется на следующем. В Интернете работают миллионы DNS-серверов, отвечающих за отправку ответов на запросы клиентов. При этом ответ может по объему намного превосходить запрос – например, если запрос относится к передаче файла зоны (запрос типа AXFR) и зона включает большое количество записей. В марте 2013 года атаке такого рода1 подвергся веб-сервер компании Spamhouse – некоммерческой организации, борющейся со спамом (рис. 5.2.1).

Для организации этой атаки было использовано около 30 000 DNS-серверов, работающих в открытом рекурсивном режиме, то есть отвечающих на запросы любых пользователей и при этом дающих полный (рекурсивный) ответ. Рекурсивный режим здесь является важным элементом атаки, так как нерекурсивные DNS-серверы только перенаправляют запрашивающего на другой DNS-сервер – их ответ является коротким и не может усилить атаку. Общей практикой является поддержание рекурсивного режима ответов только для «своих» клиентов – сотрудников предприятия для корпоративного DNS-сервера или же подписчиков сервиса для интернет-провайдера. Поскольку в Интернете имеется около 28 миллионов открытых рекурсивных DNS-серверов, найти объекты для атаки оказалось не так уж трудно. Злоумышленником был послан поток запросов на 30 000 открытых DNS-серверов, в качестве адреса отправителя которых указывался адрес атакуемого веб-сервера. Ответы от 30 000 DNS-серверов обрушились на веб-сервер компании Spamhouse.

Для усиления атаки использовались не обычные запросы на разрешение имени, а запросы на передачу объемного файла со всеми записями зоны ripe.net (RIPE NCC – это региональный информационный интернет-центр по Европе). Файл зоны ripe.net имеет размер около 3000 байт, так что при размере запроса в 28 байт коэффициент усиления составил около 100. Такое мощное усиление позволило, используя поток запросов к одному DNS-серверу интенсивностью всего в 2,5 Мбит/с, создать атаку с общей интенсивностью в 75 Гбит/с. Для отдельного DNS-сервера такой поток запросов не является чем-то необычным, так что владельцы этих серверов, скорее всего, эту атаку не заметили, а вот результирующий поток атаки в 75 Гбит/с вывел веб-сервер компании Spamhouse из строя.

Точнее, веб-сервер Spamhouse был выведен из строя только до определенного момента, пока его владельцы не перевели его «под крыло» CloudFlare – провайдера облачных сервисов, к тому же специализирующегося на защите от DDoS-атак. Перевод помог, так как распределенная виртуальная структура CloudFlare, использующая технику anycast и файерволы, смогла абсорбировать большую часть трафика атаки, поле чего веб-сервер Spamhouse вновь стал доступен пользователям Интернета.

6. Уязвимости протокола bgp

Маршрутизация между автономными системами на основе протокола BGP является (наряду со службой DNS) одним из наиболее уязвимых элементов Интернета. Это объясняется, во-первых, тяжелыми последствиями, к которым приводит ошибочная работа BGP-маршрутизаторов сети провайдеров: маршруты ко многим частям Интернета вдруг исчезают или оказываются ложными для значительной части пользователей. Во-вторых, протокол BGP принципиально менее защищен, чем внутренние протоколы маршрутизации OSPF и IS-IS, так как «собеседники» BGP-маршрутизатора находятся за пределами административной ответственности его организации, и поэтому возможностей для проверки достоверности маршрутных объявлений протокола BGP намного меньше, чем в случае внутренних протоколов.

Мы сознательно не использовали в заголовке этого раздела слово «атаки». Информация о случаях неправильной работы протокола BGP часто скрывается провайдерами Интернета, избегающими раскрытия деталей работы своей сети по разным причинам, в том числе и по причине безопасности. Поэтому большая часть крупных инцидентов, произошедших в Интернете по «вине» протокола BGP, остается инцидентами, а не атаками, так как трудно сказать, произошел тот или иной инцидент из-за ошибки конфигурирования маршрутизатора персоналом провайдера или же это была спланированная и осуществленная атака. Во многих статьях и документах, описывающих уязвимости этого протокола маршрутизации, появилось новое действующее лицо – провайдер-злоумышленник (malicious ISP), который вольно или невольно создает проблемы для остальных провайдеров.

Инциденты с маршрутизацией в Интернете являются следствием того, что маршрутное объявление протокола BGP формируется шаг за шагом многими провайдерами, при этом достоверность информации каждого шага проверить невозможно, так что у провайдера имеется полная свобода действий при обработке маршрутного объявления и передаче его соседним провайдерам. Вместо корректного объявления о префиксе своей сети с указанием номера своей автономной системы как исходной или добавления номера своей AS к уже имеющейся последовательности AS-номеров при трансляции объявления о чужой сети, он может выполнить ряд некорректных манипуляций с маршрутным объявлением, например:

• поместить адрес чужой сети с номером своей автономной системы в качестве исходной, чтобы ложно направить трафик к этой сети в свою автономную систему. При этом адрес чужой сети в некорректном объявлении BGP должен быть более специфическим, чем уже существующие корректные записи об этой сети в маршрутизаторах других провайдеров, тогда новая ложная запись станет более приоритетной и будет использоваться вместо корректных. Такой тип инцидента называется захватом префикса',

• выбросить из последовательности какую-то определенную автономную систему, чтобы обойти политику некоторой третьей автономной системы, которая по финансовым или иным соображениям блокирует все маршруты, проходящие через эту автономную систему;

• добавить номер соседней автономной системы перед передачей ее объявления, чтобы соседняя автономная система, получив объявление и увидев в нем свой номер, отбросила его, решив, что объявление зациклилось;

• добавить номер своей автономной системы несколько раз, чтобы объявление стало непривлекательным для других провайдеров (из-за размера последовательности AS);

• составить ложную последовательность автономных систем, но поместить в качестве исходного правильный (но не свой) номер AS, чтобы вызвать доверие к маршруту.

Как видим, незащищенность маршрутного объявления дает большой простор для злонамеренных искажений и просто ошибок при его обработке. Вероятность ошибки усугубляется тем, что в отличие от внутренних протоколов маршрутизации, которые обрабатывают сообщения с минимальным вмешательством администратора, работа протокола BGP обычно регулируется большим количеством правил фильтрации, которые задаются вручную администратором AS. Эти фильтры определяют политику маршрутизации той или иной автономной системы, отражающую взаимоотношения данного провайдера с каждым из провайдеров, с которым у него есть пиринговые соглашения о передаче трафика. Вместе с тем при правильном применении фильтры политики BGP являются мощным инструментом защиты BGP-маршрутизации от ошибок и атак.