איטיות באינטרנט? יתכן שהנתב שלכם משמש כרגע להתקפות.

[איסתרא בלגינא]

פעם, בימים הטובים, כדי לייצר התקפת DDoS רצינית, התוקף היה צריך לשלוט ברשת זומבים - מאות או אלפי מחשבים ברחבי העולם שעליהם הוא הצליח להתקין בדרך כלשהי תוכנת שליטה שמאפשרת לו להוציא מהם התקפות. להקים ולנהל רשת כזו זה לא עסק פשוט.

אבל העולם מתקדם והיום, יש שיטות פשוטות יותר לתקוף באינטרנט, כשאחת השיטות הפשוטות והנפוצות ביותר היא DNS Apmlification. לא צריך להחדיר כלום לשום דבר כדי לייצר התקפות במימדי ענק, שכמעט בלתי אפשרי לאתר את מקורן.

איך זה עובד? פשוט. כשאתם רוצים להגיע לאתר כלשהו, נאמר hwzone.co.il, אתם צריכים לדעת מהי כתובת ה- IP שלו. את התרגום בין שם דומיין לכתובת IP מבצע עבורכם שרת ה- DNS. בקיצור, השרת אליו אתם פונים, בד"כ זה של ספק האינטרנט שלכם, פונה לאחד מהשרתים הראשיים שכתובתם קבועה ושואל אותם מי אחראי על הדומיין il. כשהוא מקבל תשובה, הוא פונה לאותו שרת ושואל אותו מי אחראי על הדומיין co.il. את שרת ה- DNS שאחראי על co.il הוא שואל מהי כתובתו של hwzone.co.il ואת התשובה הסופית שהוא מקבל, הוא מעביר אל המחשב שלכם. הפעולה הזו נקראת שאילתת DNS רקורסיבית.

אבל אפשר לשאול שרתי DNS גם שאלות אחרות, לא רק "מהי כתובת ה- IP של הדומיין". ישנן שאילתות שעבור דומיינים מסויימים, מפיקות תשובות מאוד גדולות. למשל, השאילתה הקטנטנה הבאה:

> set type=any
> fkfkfkfr.com.

מחזירה את התשובה הזו:

Server:  Google-public-dns-a.google.com
Address:  8.8.8.8

Non-authoritative answer:
fkfkfkfr.com    nameserver = ns5.fkfkfkfr.com
fkfkfkfr.com    nameserver = ns6.fkfkfkfr.com
fkfkfkfr.com    Internet address = 204.46.43.89
fkfkfkfr.com    Internet address = 204.46.43.90
fkfkfkfr.com    Internet address = 204.46.43.91
fkfkfkfr.com    Internet address = 204.46.43.92
fkfkfkfr.com    internet address = 204.46.43.93
fkfkfkfr.com    internet address = 204.46.43.94
fkfkfkfr.com    internet address = 204.46.43.95
fkfkfkfr.com    internet address = 204.46.43.96
fkfkfkfr.com    internet address = 204.46.43.97
fkfkfkfr.com    internet address = 204.46.43.98
fkfkfkfr.com    internet address = 204.46.43.99
fkfkfkfr.com    internet address = 204.46.43.100
fkfkfkfr.com    internet address = 204.46.43.240
fkfkfkfr.com    internet address = 204.46.43.241
fkfkfkfr.com    internet address = 204.46.43.242
fkfkfkfr.com    internet address = 204.46.43.1
fkfkfkfr.com    internet address = 204.46.43.2
fkfkfkfr.com    internet address = 204.46.43.3
fkfkfkfr.com    internet address = 204.46.43.4
fkfkfkfr.com    internet address = 204.46.43.5
fkfkfkfr.com    internet address = 204.46.43.6
fkfkfkfr.com    internet address = 204.46.43.7
fkfkfkfr.com    internet address = 204.46.43.8
fkfkfkfr.com    internet address = 204.46.43.9
fkfkfkfr.com    internet address = 204.46.43.10
fkfkfkfr.com    internet address = 204.46.43.11
fkfkfkfr.com
        primary name server = ns5.fkfkfkfr.com
        responsible mail addr = ns6.fkfkfkfr.com
        serial  = 2012291001
        refresh = 28800 (8 hours)
        retry   = 86400 (1 day)
        expire  = 3600000 (41 days 16 hours)
        default TTL = 86400 (1 day)

למעשה, התשובה הרבה יותר ארוכה - יש שם 254 רשומות, מחקתי את רובן. במקרה הזה, השאלה תופסת כמה עשרות בייטים, התשובה היא כמה קילובייטים.

בעיקרון, שרתי DNS שמבצעים רקורסיות אמורים לשרת אך ורק את הלקוחות שלהם: השרתים של נטוויז'ן, למשל, לא יענו לשאילתות מכתובות IP של בזב"ל. אבל לפעמים, בגלל עצלנות, חוסר איכפתיות או חוסר ידע, משאירים את שרת ה- DNS גם פתוח לעולם וגם רקורסיבי. כל מה שהתוקף שלנו צריך לעשות הוא לסרוק את מרחב הכתובות של האינטרנט בחיפוש אחרי שרתי DNS שעונים לכל אחד ומבצעים רקורסיות וכשיש לו רשימה מכובדת של שרתים (או שהוא הוריד אחת כזו מאחד מהפורומים שנוגעים בדבר), הוא יכול לשלוח אליהם המוני שאילתות שכאלו, אבל במקום שכתובת השולח תהיה כתובת ה- IP שלו, הוא שולח אותן עם כתובת IP מזוייפת, זו של הקורבן המיועד שלו.

נאמר שכתובת התוקף היא 1.1.1.1, כתובת הקורבן היא 2.2.2.2 וכתובת שרת ה- DNS היא 3.3.3.3. התוקף שולח הרבה שאילתות ל- 3.3.3.3 שבהן הוא מבקש את פרטיו של דומיין כמו fkfkfkfr.com, אבל את הבקשות האלו הוא שולח בשמו של 2.2.2.2. שרת ה- DNS, שלא יודע שהכתובת שממנה קיבל את השאלה זוייפה, עונה למי שהוא חושב ששאל ושולח תשובה גדולה ל- 2.2.2.2. מאחר שהשאילתות קטנות, התוקף שלנו יכול לייצר המון מהן בזמן קצר. שרתי ה- DNS שמקבלים אותן מחזירים בתגובה תשובות שגדולות בהרבה מהשאילתה המקורית, כלומר מגבירים את ההתקפה.

והתוצאה? תוקף עם רוחב פס יוצא של 10Mbps בלבד, אם הוא שולח שאילתות שהתשובה להן גדולה פי 500 מהשאילתה, יכול לייצר התקפה בגודל 5Gbps, בלי להחדיר תוכנת זומבי לאף מחשב ברשת. למעשה, התקפות של מאות ג'יגהביט לשניה הפכו לנפוצות בזכות הגברת DNS (והגברת NTP, שעובדת בצורה דומה).

אבל איך זה קשור אליכם? הרי אין לכם שרת DNS, נכון? אם יש לכם נתב, דווקא יש לכם שרת DNS - הנתב עצמו. בד"כ, שרתי ה- DNS מוגדרים לענות באופן רקורסיבי לשאילתות מהרשת הפנימית שלהם בלבד, כך שהם משרתים רק את המחשבים שלכם וזהו, אבל ישנם נתבים שבהם שרתי ה- DNS הושארו פתוחים גם לרשת החיצוני. למה לא? זה מבחינתכם אין הבדל בין שרת שפתוח רק לכם לשרת שפתוח לכל העולם, בשני המקרים הוא משרת אתכם כמו שצריך, והרי אף אחד לא הולך לשאול דווקא את הנתב שלכם איך מגיעים ל- fkfkfkfr.com אם הוא לא מחובר אליו, נכון? עד שמתחילים לעשות את זה.

אז פתאום האינטרנט מתחיל לזחול. אתם עשויים לחשוד שחדרו לכם לרשת, אבל לא תמצאו שום דבר חשוד על אף מחשב ברשת - אין פרוססים לא ידועים, אין ניצול לא מוסבר של רוחב הפס, ה- CPU לא גבוה בלי סיבה, הכל נראה תקין. אבל אם תבדקו מה יוצא מהנתב, אתם עלולים לגלות שאתם מפציצים במלוא רוחב הפס שלכם, למרות שאתם לא מעלים כלום לאף אחד.

נשמע היפותטי לגמרי? בשבועות האחרונים אני רואה את זה ללא הפסקה אצל הרבה משתמשים ביתיים מספקי אינטרנט שונים. ברוכים הבאים לעולם החדש, בו לא משנה כמה טוב תגנו על המחשב שלכם, הנתב עדיין יכול לשמש כתוקף על חשבונכם.

[multicore]

לגבי DDOS - רק לפני שבוע פלוס שירות הCDN של Clouflare ספג התקפה של 400Gbps ולא שלא הזהירו מפני הפרצות אבטחה האלו (http://www.securityweek.com/us-cert-warns-ntp-amplification-attacks).

אני בעצמי דאגתי למיגרציה של כמה אתרים בחברה שלי לשירות AWF שלהם.

זאת שיטה לא ממש חדשה ולא היחידה בלייצר תעבורה שמשמשבת שירות, אך לצערינו הרב, המודעות לדברים האלו בקרב חוות השרתים וספקי השירות עדיין יחסית נמוכה.

אתה גם לא מצפה שאנשים בבית ינטרו את ה load average של הציוד קצה שלהם.

[Gal&Gal]

נהניתי לקרוא !

תודה על העדכון

[איסתרא בלגינא]

כמובן שלא. מה שכן אפשר לעשות זה לוודא ששרת ה- DNS המקומי סגור מהעולם (כאן, למשל) ואם לא, לבדוק איך אפשר לסגור אותו - בד"כ האפשרויות יהיו עדכון פירמוור במקרה הטוב או סגירה של השרת המקומי והגדרה ידנית של שרתי DNS אחרים על החשבים, למשל אלו של ספק האינטרנט המקומי או, אם זה מחשב נייד שמתחבר לרשתות שונות, שרתים שפתוחים מכל מקום כמו אלו של גוגל. ואם זה מחשב שצריך להשתמש ב- DNS-ים של העבודה לפעמים... בעיה.

נכון, זו לא השיטה היחידה (וכתבתי שיש עוד) ולא הכי חדשה(NTP amplification חדשה יותר), אבל השימוש בה הפך מאוד נפוץ בשבועות האחרונים, כנראה בגלל שכל (ותסלחו לי על הביטוי) קעקר בן 13 שלא מסוגל לפרוץ אפילו למגירת הגרביים שלו, יכול להשתמש בה כדי לייצר התקפות של ג'יגהביט ומעלה. בנוסף, כמה שלא תיזהר שלא יפרצו למחשב שלך, איך אתה יכול להיזהר מפני פרצת אבטחה בנתב, ועוד כזו שאתה בכלל לא יודע עליה?

[multicore]

את המקל הזה אני מעביר לגופי ההנדסה והNOC של חברות הISP שלנו.

[Chevy]

אוקיי ואיך המשתמש הביתי הפשוט יכול לבדוק / לאתר / לחסום זאת מראש?

[איסתרא בלגינא]

^^^

ראה קישור אחד לדוגמה בהודעה השניה שלי. אם ה- IP שלך לא מגיב, אתה בסדר. אם הוא פתוח, טוב, זו כבר שאלה של איזה נתב יש לך ומה אפשר לעשות איתו כדי לחסום את זה. במקרה הטוב זו דורש הורדת סימון V כלשהו, במקרה הרע ביותר ביטול מוחלט של שרת ה- DNS בנתב.

את המקל הזה אני מעביר לגופי ההנדסה והNOC של חברות הISP שלנו.

לא רעיון טוב. ראשית, לא אכפת להם - נותנים לך רוחב פס, תעשה איתו מה שאתה רוצה, כולל להתקיף. אפילו אם אתה לא יודע שזה מה שאתה עושה איתו. שנית, זה בור שאף אחד לא רוצה להיכנס אליו, כי כשאתה מתחיל, אתה לא יודע איפה תסיים - אתה גם צריך להודיע לאנשים שיש אצלם זומבי? שהם שולחים דואר זבל? שהם גולשים לאתרים מסוכנים? איפה הסוף? שלישית, מה אתה עושה אם מי שלא מבין מה הבעיה/לא אכפת לו? ורביעית מה תעשה אם אותם אנשים שמריצים שרתי DNS ברשת שלהם כדי להחזיק את הדומיין שלהם?

אנטי וירוס יש לך? פיירוול יש לך? אולי גם תוכנות הגנה אחרות? אם כן, למה? אתה יכול לסמוך על ספק האינטרנט שלך, לא?

[multicore]

למה לא? חברות ISP כבר הרבה שנים מבצעות פעולות של טיפול ב abuse כמו חסימת פורט TCP 25 אצל אנשים שמתחילים להזרים ספאם.

אנטיוירוס וFW לא קשורים לשירות שהISP שלי מספק לי אישית ואני גם לא מצפה שהוא יתעניין במה שהולך מעבר לגבול הציוד שלי בבית או בעבודה, אך יש הבדל גדול מאוד לגבי מה שמתרחש אצלו ב"צינורות".

ברגע שיש התחלה של DDOS, אותו ספק יכול לראות מאוד בקלות שמשהו מסריח. בשביל יש לו מערך PRTG כזה גדול וNOC שתורם את העיניים שלו?

עם ציוד DPS (למיש שי תקדיב ומשאבים) הוא יכול גם לבצע parsing ולראות גם דברים שהם מעבר לתעבורה. תראה מה Logstash+Elastic Search+Kibana יכולים לספק היום.

לאסוף מליוני ועשרות מליוני מטריקות שונות על בסיס יומי זאת כבר לא משימה בלתי אפשרית.

[Class889]

בשביל לבדוק זאת בצורה הכי פשוטה:

nslookup Google.com YOURIP

לבקש מחבר להריץ את הפקודה הזאת עם הIP שלכם ולראות האם הוא מקבל תשובה בחזרה.

כעיקרון אפשר לחסום בinput את פורט 53 במידה והוא לא חסום.

[איסתרא בלגינא]

בעצם אולי הספקים כן הולכים לטפל לפחות בחלק מזה. למה? כי נתבים בד"כ לא מבצעים שאילתות רקורסיביות בעצמם. למה לטרוח? הם שולחים את השאילתה לשרתי ה- DNS של הספק ונותנים להם לעשות את העבודה השחורה. אז אם נתב שכזה פתוח לגישה מבחוץ ומהווה חלק מהתקפת DDoS, ההתקפה הזו הולכת לעבור דרך שרתי ה- DNS של הספק. מספיק לקוחות כאלו ויש לנו התקפה על ציוד חיוני של ספק האינטרנט עצמו... ובזה חייבים לטפל. בלי שרתי DNS שמתפקדים באופן תקין, רוב הלקוחות לא יוכלו לגלוש. לחסום מלקוחות גישה לשרתי ה- DNS די בעייתי, אז מה כן אפשר לעשות?

לשים את שרתי ה- DNS מאחורי מערכת Anti-DDoS (יקר ויכול לשמש כפתרון זמני בלבד כיוון שההתקפות האלו רק יתגברו),

להגביל את מספר השאילתות לשניה ששרתי ה- DNS יסכימו לטפל בהן מאותה כתובת מקור (אבל מאחורי כתובת אחת יכול להיות ארגון עם אלפי משתמשים, כלומר המוני שאילתות DNS בשניה),

לחסום שאילתות DNS מהעולם לכתובות שאינן שרתי ה- DNS של הספק (ספקים בעולם כבר עושים את זה הרבה זמן עבור פורט TCP/25 כדי לחסום שליחת ספאם, אבל מה עם לקוחות שמריצים שרתי DNS לגיטימיים?),

לטפל אישית בלקוחות כאלו - מפניה ללקוח, הסבר אודות הבעיה והצעה לתיקון (בתשלום, יש להניח) ועד לניתוקו (לנתק לקוחות משלמים? רק אם אין ברירה אחרת),

לסנן שאילתות חשודות לפי מאפיינים משותפים (בד"כ לא מסובך לזהות את השאילתות האלו, אבל זה מחייב השקעה בציוד. מצד שני, מאחר שההתקפות האלו רק יתגברו, לא נראה לי שתהיה ברירה).

אישית אני חושב שהפתרון האחרון הוא האידאלי. בסה"כ אין יותר מידי דומיינים ידועים שהתשובות שלהם ממש גדולות ויש עוד מאפיינים משותפים לכל השאילתות האלו, למשל בקשה לרשומות TXT או ANY ביחד עם EDNS ver. 0 ו- UDPSize מעל 4KB הם סימן כמעט ודאי להתקפה. לפחות עשר שאילתות כאלו בשניה מאותה כתובת IP ואפשר לחסום אותה בשקט. סביר להניח שזה אפשרי אפילו עם הציוד הקיים של רוב הספקים.

התוצאה?מינימום עלויות, מינימום עבודה, מינימום השפעה על התפקוד של הספק ושל הלקוחות שאינם מחזיקים נתב עם resolver פתוח לעולם. ומה עם אותם לקוחות? זבש"ם.

[multicore]

הפתרון:

http://tools.ietf.org/html/bcp38

ולא רק לDDOS שהזכרת.

[איסתרא בלגינא]

לא כל כך מהר. שמת לב לכך שהמסמך הוא משנת 2000, עוד לפני שהתחילו עם DNS amplification attacks, ועדיין עושים אותן בלי בעיות 14 שנים מאוחר יותר?

את ה- Unicast Reverse Path Forwarding צריך להפעיל בצידו של ספק האינטרנט של התוקף. איך בדיוק אתה חושב שאפשר לחייב ספק סיני, למשל, להפעיל URPF? אפילו האמריקאים לא עושים את זה בד"כ. מספיק שיש ספק אחד שלא מממש את זה ואפשר להתקיף דרכו.

[multicore]

זה בדיוק העניין. מתייחסים לזה רק בתור המלצה.

[איסתרא בלגינא]

גם אם זה לא יהיה המלצה, אי אפשר להכריח את "בוזגלו-נט, האינטרנט הכי הטוב של השכונה!" להפעיל URPF וכל עוד נשאר ספק אחד בעולם שמאפשר יציאה עם spoofed IP, ההתקפות האלו ימשיכו.

[Mon6ooSe]

אני לא כל כך מצליח לעקוב אחריכם אבל האם ישנה דרך "עממית" יותר להסביר לי "אדם עממי במיוחד" איך אני מזהה את הפרצה? שמתי לב לאיטיות וקפיצות פינג אבל לא לשעבוד המעבד שלי לפעולות מסויימות, והבנתי שאמא שלי החמודה אוהבת לראות VOD ב HOT וה VOD עובד על הראוטר שקיים לנו בבית, מבית - TP-LINK TL-WR940N וכל פעם שהיא עושה את זה החייל בבאטלפילד חוזר אחורה כמה צעדים לחטוף שוב כדור בין העיניים.

האם אני צריך לחשוד שלא מדובר ב VOD ואכן מדובר בשעבוד המחשב?