Берегите DNS!

В первых числах марта 2022 г. работа более 300 тыс. интернет-доменов в зоне .ru была парализована. Оказались недоступны интернет-сайты, не работала электронная почта. Отсутствовал доступ к таким популярным интернет-сервисам, как «Битрикс 24» или «Сбермаркет». Причиной стала результативная атака на DNS-серверы компании RU-Center, крупнейшего в России регистратора доменных имен и хостера интернет-сайтов.

Атаки на DNS-серверы происходят с завидной регулярностью. Впервые они были зафиксированы еще в 2002 г. и с тех пор становятся только изощреннее. Нарастает и разрушительность таких нападений.

Рост популярности нападений на DNS-серверы объясняют тем, что начиная с 2010 г. компании стали активно применять средства защиты от DDoS-атак в своей инфраструктуре. Хакеры озаботились ответными мерами, и многие из них сделали своими целями уже не отдельные ресурсы, а целые пулы из тысяч сайтов, связанных общим регистратором доменных имен или хостингом. В 2012 г., к примеру, таким атакам подверглись крупнейший в США провайдер AT&T и ведущий в мире хостинг-провайдер GoDaddy. Более того, тогда же представители хакерской группировки Anonymous угрожали обрушить весь интернет. 

С тех пор масштабные DNS-атаки повторяются регулярно, а ущерб от них достигает астрономических цифр. К примеру, издание TAdviser со ссылкой на отчет компании EfficientIP за 2020 г. сообщало, что 79% организаций в мире становились жертвами подобных нападений и ущерб от каждой такой атаки в среднем превысил $900 тыс. 

Между тем, по данным того же отчета, 25% компаний вовсе не анализируют свой DNS-трафик. Это говорит о том, что проблема не просто серьезна. Риски, связанные с нападениями на DNS-серверы, носят угрожающий характер.

Как известно, у любого компьютера в сети, в том числе в интернете, есть свой уникальный адрес. Этот набор из четырех трехзначных чисел и есть IP-адрес. Такая система удобна для машин, которые хорошо запоминают цифры, но, увы, неудобна для человека. Хранить в памяти много таких сочетаний мы неспособны. Поэтому создатели интернета решили давать веб-сайтам буквенные имена, связанные с тематикой ресурса, названием компании и т. п. Это и есть доменные имена, и каждое из них привязано к тем самым сложным числовым комбинациям. Для того чтобы перевести буквенные доменные имена в числовые IP-адреса, понимаемые машиной, и применяется система доменных имен (Domain Name System, DNS).

Структура системы доменных имен – классическое иерархическое дерево. Его корни – доменные зоны (.com, .ru и др.), путь от которых ведет к каждому листочку дерева – интернет-сайту.

Работает DNS при помощи специальных DNS-серверов. Они хранят информацию о соответствии каждого доменного имени IP-адресу и о ресурсных записях других DNS-серверов. Это необходимо для ускорения запросов к сайтам, расположенных в других доменных зонах.

Когда пользователь при помощи браузера отправляет запрос на посещение сайта, DNS-сервер его сегмента сети ищет имя сайта в своем кэше (промежуточном буфере с быстрым доступом к нему, содержащем информацию, которая может быть запрошена с наибольшей вероятностью) и, если находит его, то сразу переадресовывает запрос на конкретный IP-адрес. Если таких данных у DNS-сервера нет, то запрос пересылается серверу более высокого уровня. Иногда эта работа сервера заметна пользователям: одни сайты открываются быстро, другие ощутимо медленнее. Происходит это из-за того, что адрес сайта приходится искать на DNS-серверах в других доменных зонах.

Поиск числовых IP-адресов по доменному имени – не единственная функция DNS-серверов. Для каждого сайта они хранят важную дополнительную информацию: адрес почтового сервера, аналоги доменного имени, текстовую информацию о домене, адрес DNS-сервера, на котором хранится дополнительная информация. 

Эта информация называется доменными (или ресурсными) записями. Они необходимы для того, чтобы DNS-серверы могли корректно обрабатывать запросы к сайту – направлять пользователя на нужную страницу, идентифицировать почтовый домен, чтобы отправляемые с него письма доходили до получателей, подтверждать безопасность сайта при помощи SSL-сертификатов. Таких записей может быть очень много, и каждая из них непосредственно влияет на работу сайта и связанных с ним сервисов.

Атака на DNS-сервер – разновидность DDoS-атаки, целями которой являются отключение интернет-ресурса, его частичное или полное разрушение. Бывает, что DDoS используется как отвлекающий маневр: пока ИТ-службы заняты этой угрозой, злоумышленники пытаются взломать другие ресурсы, в том числе для кражи данных. Сегодня, когда интернет-сайты стали для множества компаний главным инструментом привлечения и обслуживания клиентов, а данные – главным бизнес-активом, такие атаки могут угрожать самому существованию бизнеса. Атакам подвергаются и государственные организации. При этом нападающие могут преследовать и политические цели, выводя из строя сервисы, обслуживающие и граждан, и системы жизнеобеспечения. 

Например, простой в течение нескольких часов сайта интернет-магазина или банка может иметь для них необратимые последствия. Клиенты предпочтут другую, более устойчивую и надежную торговую площадку, банкам придется преодолевать последствия, связанные с недоступностью платежных систем, заниматься розыском «потерявшихся» транзакций. Облачные сервисы, гарантирующие заказчикам высокий уровень доступности своих систем, будут вынуждены выплачивать денежные компенсации. Наконец, имиджевые потери для бизнеса подчас даже более критичны, чем прямые финансовые убытки.

Однако вместо атаки на сам сайт можно вывести из строя сервер DNS. В таком случае браузеры пользователей не смогут определить IP-адрес, и сайт для них окажется недоступен. Злоумышленник может постоянно генерировать запросы к серверу DNS с целью исчерпания его ресурсов.

Без создания специальной защиты единственным способом нейтрализации атаки является повышение мощности серверов. Однако при постоянном наращивании мощностей такой сервер сам может использоваться злоумышленниками для организации DDoS-атак на другие жертвы.

Помимо неработоспособности сайтов цели киберпреступников могут быть куда приземленнее и рациональнее.

Одной из разновидностей DNS-атак является DNS-спуфинг (его еще называют «отравление кэша»), когда злоумышленники не «обрушивают» сайт, а подменяют его IP-адрес фальшивым. Это может быть адрес ресурса, который полностью дублирует содержание «правильного» сайта. В результате хакеры получают в свое распоряжение все данные, которые вводят пользователи во время работы с сайтом. Ими могут быть персональные данные, номера и CVV-коды банковских карт. 

Перенаправить злоумышленник может не только веб-запрос пользователя. Контроль над DNS позволит ему получить доступ к электронным письмам (они просто будут приходить на адрес хакера). Точно так же будут перехвачены и попытки аутентификации при удаленном доступе к корпоративным системам, а эти риски особенно актуальны, когда значительная часть персонала работает удаленно. 

Как правило, компании обращают мало внимания на безопасность DNS-серверов. Действительно, на первый взгляд она актуальна для провайдеров, которые обеспечивают работоспособность множества доменов. Но сегодня проблема DNS-безопасности касается все большего числа компаний. 

Дело в том, что бизнес использует множество облачных сервисов от сторонних поставщиков – дата-центров, провайдеров, сетей доставки контента (CDN-сервисов). Число таких систем постоянно растет, они приобретают все большую популярность. Более того, организации все чаще разворачивают собственные облачные сервисы, обеспечивая доступность своих информационных ресурсов и для собственных сотрудников, и для своих партнеров. Например, в период пандемии, когда практически все компании были вынуждены были отправить своих сотрудников в «домашние офисы», стали широко применяться различные средства удаленного доступа – виртуальные и удаленные рабочие столы. Таким образом, собственными онлайн-сервисами сегодня управляют тысячи самых разных компаний, от крупных корпораций до небольших бизнесов. И для их работы необходимы DNS.

DNS-сервер – точно такой же сервис, который бизнес может получить непосредственно от провайдера услуги. Но любой специалист по информационной безопасности подтвердит: даже гарантия доступности от поставщика облачного сервиса не избавляет компанию-пользователя от необходимости защищать этот элемент своей инфраструктуры. То же самое касается используемых организацией DNS-серверов. 

Иными словами, защита DNS-сервера сегодня стала проблемой не только провайдеров, но и любой организации, которая имеет даже небольшие собственные онлайн-сервисы, от интернет-магазина до виртуальных рабочих столов для своих сотрудников. 

Использование только одного средства защиты DNS-серверов едва ли поможет полностью предотвратить атаки на них. Необходим комплекс мер, среди которых только одна состоит в применении собственно технических решений.

В первую очередь, повторимся, необходимо диверсифицировать DNS-серверы, – не полагаться только на провайдера, но и по крайней мере развернуть резервный сервер на собственных мощностях.

Следующая мера – распределение ресурсов. Речь идет о размещении DNS-серверов на различных площадках. Например, в ЦОДе провайдера и своем собственном или в двух разных дата-центрах, управляемых разными провайдерами. Такая мера существенно усложнит хакерам организацию атаки, а самой компании позволит в кратчайшие сроки восстановить работоспособность своих систем, если нападение произойдет.

DNS-серверы требуют постоянного внимания. Поэтому компания, которая управляет хотя бы одним сервером (не важно, размещен он в собственной инфраструктуре или на мощностях провайдера), должна иметь в штате грамотного администратора с соответствующими компетенциями, а кроме того, организовать управление доступом к настройкам сервера, как минимум – двухфакторную авторизацию.

Затем необходимо использовать DNSSEC – набор расширений для протокола DNS, разработанный специально для защиты DNS-серверов. Он служит своего рода сертификатом подлинности сервера и действует точно так же, как электронная цифровая подпись с криптозащитой. Для компаний, которые собирают и хранят данные пользователей (проще, наверное, найти компании, которые этого не делают) использование DNSSEC обязательно. 

И, наконец, защита DNS-серверов подразумевает использование специальных средств защиты от DDoS-атак. Это могут быть и сервисы по подписке, которые предлагают провайдеры, и собственные защитные средства, как программные, так и аппаратные. При этом поставщики услуг защиты, как правило, предоставляют дополнительный сервер DNS, в котором реализованы передовые методы нейтрализации атак и разработана специальная логика обработки запросов ботов. За счет распределенных мощностей таких систем защиты будет гарантирована работоспособность DNS-серверов вне зависимости от интенсивности возможной атаки.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

<< Предыдущая статья   Вернуться к содержанию   Следующая статья >>