מחקר של ניוסטאר: שיקוף DNSSEC סיכון DNS חמור

הספקית של DNS ושירות מיתון DDoS חושפת פגיעויות רווחות של הגברת DNSSEC
הגברת ה-DNSSEC הממוצעת גדולה בקרוב לפי 30 מהבקשות
סטרלינג, וירג'יניה, 17 באוגוסט 2016, (BUSINESS WIRE):
Inc. ,Neustar ניוסטאר (NYSE: NSR),ספקית אמינה ניטרלית של שירותי מידע בזמן אמת, פרסמה היום את "DNSSEC: איך תוקפי DDoS מתוחכמים משתמשים בהגנות שלנו נגדנו" (DNSSEC: How Savvy DDoS Attackers Are Using Our Defenses Against Us), דוח מחקר שמפרט איך אפשר לנצל לרעה DNSSEC (תוספים להגברת האבטחה של DNS) כמגבר בהתקפות DDoS (מניעת שירות מבוזרת). ניוסטאר קבעה שבממוצע שיקוף DNSSEC יכול להפוך שאילתה של 80 בייט לתגובה של 2,313 בייט, גורם הגברה של קרוב לפי 30, שיכול בקלות לגרום להפסקת שירות ברשת בזמן התקפת DNS, והתוצאה היא הפסד הכנסות ופריצות לנתונים.
"DNSSEC התפתח ככלי למלחמה בחטיפות של DNS, אבל לרוע המזל הפצחנים הבינו שהמורכבות של החתימות האלה הופכת אותן אידיאליות להצפת רשתות בהתקפת DNS", אמר ג'ו לבלס, מנהל שיווק מוצרים, שירותי אבטחה, ניוסטאר. "אם DNSSEC לא מאובטח היטב, אפשר לנצל אותו, להפוך אותו לנשק ובסופו של דבר להשתמש בו ליצירת התקפות DNS מסיביות".
DNSSEC תוכנן כדי לספק תקינות ואימות ל-DNS, והוא משיג אותן באמצעות החלפות של מפתחות וחתימות דיגיטליות מורכבות. כתוצאה מכך, כשרשומת DNS מועברת ל-DNSSEC, נוצרת כמות בלתי רגילה של מידע נוסף. בנוסף, כשנותנים את פקודת ה-DNS ANY, התשובה המוגברת מ-DNSSEC גדולה באופן מעריכי מאשר תשובת DNS רגילה.
ממצאים חשובים מהדוח "DNSSEC: איך תוקפי DDoS מתוחכמים משתמשים בהגנות שלנו נגדנו":
1. הפגיעויות של DNSSEC רבות מאוד – ניוסטאר בדקה ענף אחד עם 1,349 שמות מתחם וקבעה שב-1,084 מהם (80 אחוז) אפשר לעשות שימוש זדוני כמגבר בהתקפת DNS (הם נחתמו באמצעות DNSSEC והגיבו לפקודה ANY).
2. גורם הגברת הDNSSEC- הממוצע הוא 28.9 – ניוסטאר בדקה פגיעויות של DNSSEC באמצעות שאילתה של 80 בייט, שהחזירה תגובה ממוצעת של 2,313 בייט. תגובת ההגברה הכי גדולה הייתה 17,377 בייט, גדולה פי 217 מהשאילתה של 80 בייט.
3. האנטומיה של התקפת שיקוף DNSSEC – ניוסטאר מדגימה את שרתי הפקודות והבקרה שנחוצים כדי להפעיל את רובוטי הרשת והסקריפטים שמתכוונים אל שרתי שמות DNS כדי לבצע התקפות הגברת DNSSEC.
4. פרקטיקות מיטביות לצמצום – לארגונים שמסתמכים על DNSSEC, ניוסטאר ממליצה להבטיח שספק ה-DNS שלהם לא מגיב לשאילתות ANY או שמותקן אצלו מנגנון שמזהה ומונע שימוש לרעה.
"ניוסטאר מתמקדת בשימוש במדעים קשורים כדי לחבר בין אנשים, מקומות ודברים, ולכן אבטחת הרשת כל כך הכרחית", אמר לבלס. "ככל שיותר ארגונים מאמצים את DNSSEC, יש חשיבות קריטית להבין איך לאבטח אותו. הזמן לתקן אותו הוא עכשיו".
למידע נוסף על הדוח "DNSSEC: איך תוקפי DDoS מתוחכמים משתמשים בהגנות שלנו נגדנו", בקרו בבקשה כאן:
https://hello.neustar.biz/201608—Security-Services—Trade-Show—Black-Hat_DNSSEC-LP.html.

דילוג לתוכן