Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Podobné dokumenty
Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Ondřej Caletka. 2. března 2014

Falšování DNS s RPZ i bez

DoS útoky v síti CESNET2

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Ondřej Caletka. 23. května 2014

Správa a zabezpečení DNS

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Služby správce.eu přes IPv6

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

DNSSEC na vlastní doméně snadno a rychle

Ochrana soukromí v DNS

Útok na DNS pomocí IP fragmentů

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Dual-stack jako řešení přechodu?

Principy a správa DNS

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Jak se měří Internet

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Demo: Multipath TCP. 5. října 2013

Jak se měří Internet

Analýza otrávené DNS cache

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

DNS, jak ho (možná) neznáte

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Principy a správa DNS

ové služby a IPv6

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

WrapSix aneb nebojme se NAT64. Michal Zima.

DNSSEC na vlastní doméně snadno a rychle

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Bezpečnější pošta aneb DANE for SMTP

Y36SPS Jmenné služby DHCP a DNS

Stránka, doména, URL, adresa

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

BCOP aneb jak správně nasazovat

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Jmenné služby a adresace

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Pravidla pro připojení do projektu FENIX

Ondřej Caletka. 5. listopadu 2013

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

IPv6 tunely pomocí OpenVPN

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnostní projekt Případová studie

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

JAK ČÍST TUTO PREZENTACI

Novinky v.cz registru a mojeid. Zdeněk Brůna

Správa linuxového serveru: DNS a DHCP server dnsmasq

Principy a správa DNS - cvičení

Jak funguje SH Síť. Ondřej Caletka

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Bezpečnější bezpečnější díky DANE

Výzkum v oblasti kybernetické bezpečnosti

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Technická analýza kyberútoků z března 2013

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

DDoS útoky a jak se jim bránit

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Principy a správa DNS

Bezpečnější pošta díky DANE

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Útoky DoS a DDoS. Přehled napadení. Projektování distribuovaných systémů Ing. Jiří ledvina, CSc. Lokální útoky. Vzdálené útoky

Ondřej Caletka. 21. října 2015

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Zajímavé funkce OpenSSH

Architektura připojení pro kritické sítě a služby

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

IP telephony security overview

DNS, DHCP DNS, Richard Biječek

Seminář pro správce univerzitních sí4

Principy a správa DNS

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Principy a správa DNS - cvičení

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

/ 1 / DR 2010 DOMAIN REPORT

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Administrace Unixu (Nastavení firewallu)

Ondřej Caletka. 13. března 2014

Komunikace v sítích TCP/IP (1)

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Ondřej Caletka. 27. března 2014

Administrace OS UNIX

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

SSL Secure Sockets Layer

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

Transkript:

Útoky na DNS Ondřej Caletka 9. února 2016 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 1 / 16

DNS: minutes to learn, a lifetime to master Shane Kerr Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 2 / 16

Odrazný a zesilující útok založeno na falšování zdrojových adres útočník posílá dotazy jménem oběti obět dostává nevyžádané odpovědi Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 3 / 16

Příčinou je falšování zdrojových adres k útoku lze použít jakýkoli protokol rozdíly v paketovém a bajtovém zesilovacím faktoru protokol zesílení bajtů zesílení paketů DNS 28 54 1 5 NTP 556,9 100 SNMPv2 6,3 SSDP 30,8 Quake 63,9 Steam 5,5 TCP 1 1 zdroj: US-CERT TA14-017A Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 4 / 16

DNSSEC za nic nemůže There s a lot of urban legend out there about how DNSSEC makes DDoS worse because of DNSSEC s larger message size, and while this makes intuitive sense and sounds good, it is simply false. ( ) In short, no attack requires DNSSEC, and thus any focus on DNSSEC as a DDoS risk is misspent energy. zdroj: Paul Vixie na dotaz What kinds of security vulnerabilities does providing DNSSEC expose? Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 5 / 16

Jak problém řešit? 1 zabránit falšování zdrojových adres BCP 38, BCP 84 TODO: přemluvit všechny na světě pozitivní vliv NATů 2 omezit zbytné velké odpovědi přidat další komplexitu do existujících protokolů 3 dělat obojí aspoň napůl bráníme falšování ve vlastní síti, abychom nebyli zdrojem útoku zabezpečujeme služby, aby neodrážely víc, než je nezbytně nutné Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 6 / 16

Omezení zesilovacího efektu rekurzivní servery povolujeme pouze z vlastní sítě autoritativní servery zapínáme response rate limiting omezujeme výchozí velikost UDP bufferu Response Rate Limiting Obecná technika limitování odpovědí autoritativních serverů na opakující se dotazy ze stejné adresy. Implementováno nativně v Knot DNS, NSD a BIND 9.9. Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 7 / 16

DNS cookies pro efektivnější RRL návrh rozšíření protokolu DNS o jednoduchou autentizaci klientů a serverů s postupným zaváděním klient vygeneruje a pošle s dotazem ccookie = f(csecret, server IP) server vygeneruje a vrátí s odpovědí scookie = f(ssecret, ccookie, client IP) klient dále přidává ccookie i scookie k dotazům, takže je jisté, že nejde o zfalšovanou adresu pokud cookie nesouhlasí, je příchozí dotaz podroben RRL a případně zahozen https://tools.ietf.org/html/draft-ietf-dnsop-cookies-09 Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 8 / 16

Omezení velikosti UDP odpovědi rozšíření EDNS0 zvětšuje délku UDP zpráv nad 512 B obvykle na 4096 B omezením velikosti k ~1 kb snížíme účinnost zesilujícího útoku také se tím zlepší situace resolverům s nefunkčním Path MTU Discovery příliš nízká hodnota může naopak rozbít resolvery bez TCP konektivity obzvláště při použití DNSSEC takto postižených uživatelů je ~2 % (měření Geoffa Hustona) Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 9 / 16

Když jste pod útokem incident 18. 12. 2013 11:00 12:00 CET zahlcení hlavního DNS resolveru UDP pakety na náhodná čísla portů, obsahující 128 0x00 provoz přicházel ze všech zahraničních linek z náhodných adres pro obět bez možnosti obrany Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 10 / 16

Útok náhodnými dotazy postihuje zároveň rekurzivní i autoritativní servery útočící botnet pokládá dotazy ve stylu <random string>.www.example.com dotaz je vždy přeposlán autoritativnímu serveru autoritativní server se pod náporem hroutí rekurzivní server čeká na odpověď a zkouší dotazy opakovat rekurzivní resolver autoritativní servery iree0foh.www.example.com? asdf.www.example.com? iree0foh.www.example.com? NXDOMAIN útočník asdf.www.example.com? NXDOMAIN https://www.root.cz/clanky/utok-na-dns-nahodnymi-dotazy/ Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 11 / 16

Přetížení rekurzivních serverů fetches-per-server v BIND ratelimit v Unbound rekurzivní resolver útočník iree0f oh.www.examp le.com? asdf.w ww.exa mple.c ir om? as ee0 df fo.w h. ww ww.e w. xa ex mp amp le.c le.c om? om? autoritativní servery iree0foh.www.example.com? iree0foh.www.example.com? asdf.www.example.com? asdf.www.example.com? asdf.www.example.com? NXD OMA IN nezabezpečené domácí routery Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 12 / 16

Přetížení autoritativních serverů Otázka: Proč používáme Anycast DNS? Odpověď: Pro odolnost vůči útokům, snížení latence je sekundární efekt. Otázka: Co tvoří většinu provozu? Odpověď: Odpad. Otázka: Kam bychom měli instalovat nové instance? Odpověď: Tam, kde chtějí správné odpovědi. ŠPATNĚ Odpověď: Tam, odkud se hrne odpad. Zdroj: Randy Bush @ DNS-WG Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 13 / 16

Budujeme globální Anycast Potřebné ingredience: 1 veřejné číslo AS 1 /24 IPv4 adresy 1 /48 IPv6 adresy (preferovaně tzv. PI adresy) n geograficky rozmístěné DNS servery v housingu s plnou IPv4 a IPv6 konektivitou v housingu ochotném navázat se serverem BGP session (zkusíme oslovit NRENy) ohlašující daný AS s danými IPv4 a IPv6 adresami centrální provisioning a orchestrace Inspirace: https://noc.esgob.com/ Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 14 / 16

Útok nekonečnou delegací upravený autoritativní server posílá nové a nové reference 1.example.com. delegováno na 2.example.com. 2.example.com. delegováno na 3.example.com. omezení trvání/hloubky rekurze implementováno v serverech od prosince 2014 v praxi jsme nezaznamemali https://www.root.cz/clanky/utok-na-dns-nekonecnou-rekurzi/ Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 15 / 16

Závěr Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) Útoky na DNS 9. února 2016 16 / 16

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář