ET DOS DNS Amplification Attack Inbound

版主: peterjeremy

頭像
peter
文章: 156
註冊時間: 週二 2月 06, 2007 5:55 pm
來自: 台中眾至資訊
聯繫:

ET DOS DNS Amplification Attack Inbound

文章peter » 週六 4月 02, 2016 9:45 pm

2016-03-07 17:53:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:52:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 443 53 記錄 High
2016-03-07 17:51:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:50:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:49:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 443 53 記錄 High
2016-03-07 17:48:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:47:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:46:34 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 443 53 記錄 High
2016-03-07 17:45:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:44:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 443 53 記錄 High
2016-03-07 17:43:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:42:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High
2016-03-07 17:41:33 DOS ET DOS DNS Amplification Attack Inbound 50.22.162.226 172.16.1.2 UDP 1 53 記錄 High

您管理的主機可能被利用當成跳板的原因
1. 您的主機安裝的某個套件軟體有開啟DNS服務。
2. 該主機為貴單位授權的DNS伺服器,但未設定良好的存取權限。
3. 您的主機可能已被入侵,並安裝惡意軟體與開啟DNS服務。

如何檢測您管理的主機是否有開啟DNS服務
1. 在待查主機的本機使用netstat指令檢測

I. 在Linux環境下
● 開啟Terminal
● 在游標處輸入netstat -an
● 觀察主機是否有開啟UDP 53 port

II. 在Windows環境下
● 滑鼠左鍵點選桌面左下角「開始」
● 滑鼠左鍵點選「所有程式」
● 滑鼠左鍵點選「附屬應用程式」
● 滑鼠左鍵點選「開啟命令提示字元」
● 在游標處輸入netstat –an
● 觀察主機是否有開啟UDP 53 port

2. 從其它主機使用nslookup指令對待查主機做查詢

I. 在Linux環境下
● 開啟Terminal
● 在游標處輸入nslookup
● 在游標處輸入server 待查主機IP,暫時將DNS查詢主機轉至待查主機
● 在游標處輸入欲查詢的網域,例如:www.google.com
● 察待查主機是否有回應該網域的資訊
圖2.表示此IP未提供DNS查詢服務或有設定recursive query存取權限
圖3.表示此IP有提供DNS查詢服務

II. 在Windows環境下
● 滑鼠左鍵點選桌面左下角「開始」
● 滑鼠左鍵點選「所有程式」
● 滑鼠左鍵點選「附屬應用程式」
● 滑鼠左鍵點選「開啟命令提示字元」
● 在游標處輸入nslookup
● 在游標處輸入server 待查主機IP,暫時將DNS查詢主機轉至待查主機
● 在游標處輸入欲查詢的網域,例如:www.google.com
● 觀察待查主機是否有回應該網域的資訊
圖2.表示此IP未提供DNS查詢服務或有設定recursive query存取權限
圖3.表示此IP有提供DNS查詢服務

圖檔
圖2.此IP未提供DNS查詢服務或有設定recursive query存取權限

圖檔
圖3. 此IP有提供DNS查詢服務

在BIND版本9.5之前,recursion的功能是預設開啟的,故管理者必須自行關閉此功能或設定適當的存取權限。



DNS amplification attack(放大攻擊)簡介(說明原始連結http://www.cc.ntu.edu.tw/chinese/epaper/0028/20140320_2808.html)
圖檔
Figure 1 DNS Amplification Attack [1]

DNS 放大攻擊可參考上圖來了解攻擊的流程與資料流的方向。
Step1: 攻擊者向已受控制的殭屍電腦群下達開始攻擊指令。
Step2: 遭感染的殭屍電腦群向未做好安全設定的 DNS server發出偽造的DNS query 封包,偽造成受害者的 IP 位置成來源位置來進行遞迴查詢。
Step3: 受害的 DNS 主機向根目錄 Server 進行 domain 查詢。
Step4: 根目錄主機向受害 DNS 主機回傳查詢無此 domain 的訊息,並回傳另一根伺服器可能有其 domain 資料。
Step5: 受害 DNS 主機轉向另一根目錄 Server 進行 domain 查詢。
Step6: 外部根目錄 Server 回傳知道此 domain 資料的 DNS server 位置。
Step7: 受害 DNS 主機再度向此 DNS 發出查詢。
Step8: 外部 DNS 回傳受害 DNS 主機 domain 查詢資料。
Step9: 受害 DNS 主機向遭偽造來源的主機回傳 domain 查詢資料。

攻擊者透過不斷重複上述步驟,向目標主機發送大量 UDP 封包,藉此阻斷其正常服務,也由於受害 DNS 主機回傳到目標主機之封包大小會大於殭屍電腦群所發送的封包大小, 攻擊過程中流量具有放大的效果,故稱其為 DNS 放大攻擊。

2013年三月歐洲反垃圾郵件組織 Spamhaus 即是遭此 DDoS 攻擊,攻擊流量高達300Gbps,成為目前為止最嚴重的DDoS 攻擊。

圖檔
Figure 2 DNS Amplification Attack [2]

參考上圖可了解此種攻擊模式下的放大效果,約可從32byte(殭屍電腦群出發)放大至3296byte(受害 DNS 主機回傳給受害主機),攻擊頻寬約可被放大 100 倍左右,當殭屍電腦群發出大量的 DNS query 封包時,甚至會導致封包在 router 轉送時出現壅塞,進而產生更大規模的影響,所以 DNS 主機安全性設定,已成為不可忽視的重要項目之一。

二、 DNS amplification attack 分析說明
圖檔
北區 ASOC 透過 IPS 即時監測各區網有無 DNS 放大攻擊事件,偵測基本架構可參考上圖,透過放置於流量骨幹 IPS,同時來監看 Inbound 以及 Outbound 的流量,一但有外部攻擊者發出偽造來源的惡意 DNS 封包或內部 DNS 主機發出異常 query 封包時,皆可被 IPS 偵測到,避免 DDoS攻擊之情事發生,在此種偵測模式下,我們可以確保轄下連線單位內的 DNS不被外部惡意攻擊者所利用,同時,也能確保內部不受到此種攻擊模式危害,在大規模攻擊情事發生前,亦能提早發出告警,避免攻擊進一步擴大而影響整體網路環境。

圖檔
檢視 IPS 所偵測到的事件封包如上圖,可發現具有明確的攻擊特徵,攻擊者偽造來源後,並會針對特定 domain 發送大量 query 封包,正常使用者不應發出如此頻繁的 DNS query,且查詢的 Domain name 皆為「sandia.gov」,這明顯為異常行為,故研判攻擊者想藉此癱瘓受害主機頻寬,屬 DNS 放大攻擊。

三、 DNS amplification attack 解決方案
Windows DNS[3]為避免 DNS 主機被利用為攻擊的跳板,建議 DNS 設定須符合下列兩項安全性設定:
設定 ACL,僅允許符合 ACL 設定的網段進行 recursive query 或關閉 recursive query

設定 ACL
1. 開啟 [DNS 管理員]。
2. 在主控台樹狀目錄中按一下適用的 DNS 伺服器。
位置:DNS/適用的 DNS 伺服器
3. 在 [執行] 功能表,按一下 [內容]。
4. 在 [介面] 索引標籤上,按一下 [只有下列 IP 位址]。
5. 在 [IP 位址] 中,輸入為此 DNS 伺服器啟用的 IP 位址,然後按一下[新增]。
6. 視需要重複上一個步驟,以指定為此 DNS 伺服器啟用的其他伺服器 IP 位址。
若要從清單移除 IP 位址,然後按一下 [移除]。或使用命令列執行:
1. 開啟命令提示字元。
2. 輸入下列命令,再按 ENTER 鍵:
dnscmd <ServerName> /ResetListenAddresses [<ListenAddress> ...]

關閉 recursive query
1. 開啟 [DNS 管理員]。
2. 在主控台樹狀目錄的適當 DNS 伺服器上按一下滑鼠右鍵,然後按一下 [內容]。
位置:DNS/適用的 DNS 伺服器
3. 按一下 [進階] 索引標籤。
4. 在 [伺服器選項]中,選取 [停用遞迴] 核取方塊,然後按一下 [確定]。
或使用命令列執行:
1. 開啟命令提示字元。
2. 輸入下列命令,再按 ENTER 鍵:
dnscmd <ServerName> /Config /NoRecursion {1|0}

4.2 Linux DNS

為避免 DNS 主機被利用為攻擊的跳板,建議 DNS 設定須符合下列兩項安全性設定:
● 在 BIND 版本 9.5 之前,recursion 的功能是預設開啟的,故管理者必須自行關閉此功能或設定適當的存取權限。
● 以下為 BIND 的組態設定檔 Name.conf 的建議設定

/*定義一個 ACL,設定能存取 DNS 服務的 IP 範圍,此例192.168.0.0/16,可自行調整為貴單位的網段*/
Acl “allowed-IP”{
192.168.0.0/16;
};

/*僅允許符合 ACL 設定的網段進行 recursive query*/
Options {
……
Allow-recursion { allowed-IP; };
……
};
/*提供貴單位管轄下的網域給其它 DNS 查詢*/
zone "XXX.edu.tw" in {
……
allow-query { any; };
……
};

詳細的設定步驟可參考ISC BIND9[4] 的相關文件。
圖檔
翁維聰 Peter
ShareTech Information Co., Ltd
Tel: 04-27050888 Fax:04-27020684
407台中市西屯路二段256巷6號5樓之1
e-mail:peter@sharetech.com.tw
SKYPE:tsungwei888

回到「BOTNET 資訊」

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 0 位訪客