maanantai 25. maaliskuuta 2013

Suomalaiset nimipalvelimet Spamhaus hyökkäyksessä mukana

[CERT-FI] Suomalaisia suojaamattomia nimipalvelimia käytetään hyväksi yhdysvaltalaiseen palveluntarjoajaan kohdistuvassa palvelunestohyökkäyksessä. Nimipalvelinten avulla kyetään vahvistamaan hyökkäysliikenteen volyymi moninkertaiseksi.

Yhdysvaltalaisen CloudFlare-palveluntarjoajan verkkoon on jo jonkin aikaa kohdistunut hyvin voimakas palvelunestohyökkäys. Hyökkääjien tarkoituksena näyttää olevan häiritä roskapostin torjuntaan erikoistuneen SpamHausin palvelinten toimintaa. Hyökkäyksessä käytetään hyväksi sellaisia nimenselvitykseen käytettäviä nimipalvelimia, jotka ovat avoimesti kenen tahansa käytettävissä.

Hyökkäyksessä nimipalvelimelle lähetetään nimipalvelukyselyjä, joissa lähettäjän IP-osoitteeksi on väärennetty hyökkäyksen kohteena olevan palvelimen osoite. Nimipalvelin lähettää vastauksensa kyseiseen osoitteeseen. Tämä on mahdollista, koska nimipalvelussa käytetään UDP-protokollaa, joka ei TCP-protokollan tavoin vaadi kaksisuuntaista kättelyä yhteyttä avatessa. Koska nimipalveluvastaukset ovat moninkertaisesti kyselypaketteja isompia, saadaan melko vähäisellä dataliikenteellä aikaan paljon liikennettä kohdepalvelimelle.

Hyökkäysliikenteestä on toistaiseksi tunnistettu yli sata suomalaista IP-osoitetta. Kyseisten osoitteiden haltijoihin otetaan yhteyttä internetoperaattorien kautta. Tietojemme mukaan suomalaisissa verkoissa on vähintään 26000 sellaista laitetta, joita voi käyttää nimenselvitykseen, ja jotka löydyttyään ovat mahdollisesti käytettävissä palvelunestohyökkäyksiin. Suosittelemme, että omien nimipalvelinten ylläpitäjät tarkistavat omien palvelintensa asetukset.

Avoimet resolver-nimipalvelimet helppoja kohteita

Resolver-nimipalvelimet on tavallisesti tarkoitettu tietyn asiakaskunnan käyttöön. Internetoperaattorilla on asiakkaitaan varten omat nimipalvelimet, joiden IP-osoitteet asentuvat DHCP-palvelun kautta asiakkaan laitteisiin ja tietokoneisiin. Koti- tai yritysverkon reititin tai ADSL-päätelaite toimii yleensä siten, että se ohjaa sisäverkon tietokoneiden nimipalvelukyselyt operaattorin palvelimelle. Laitteen tulisi sallia nimenselvitys vain sisäverkosta tuleville pyynnöille. Jos palvelu on avoinna myös internetiin päin, laitetta tai tietokonetta voidaan käyttää hyväksi hyökkäysliikenteen vahvistajana.

Nimipalveluohjelmiston (esimerkiksi BIND) asetuksissa on syytä rajoittaa niitä verkkoja, joista nimenselvitys on sallittu. Reitittimien tai ADSL-laitteiden ylläpitokäyttöliittymästä voi useimmiten valita, että mitä palveluja tarjotaan internetiin (WAN) ja mitkä palvelut ovat käytettävissä sisäverkosta (LAN).

Väärennettyjen osoitteiden käyttämistä voitaisiin vaikeuttaa siten, että kaikki internetoperaattorit toteuttaisivat ns. BCP38 (Best Current Practices -dokumentti 38 ja sen korvannut versio 84, RFC 2827 ja 3704) mukaisen suodatuksen, jolloin kunkin operaattorin verkosta voisi liikennöidä ulospäin vain sellaisilla IP-lähdeosoitteilla, jotka kuuluvat sille itselleen. Valitettavasti läheskään kaikilla ulkomaisilla operaattoreilla tällaista suodatusta ei ole käytössä.

Auktoritatiiviset palvelimet vastaavat omista verkkotunnuksistaan

Myös verkkotunnusten auktoritatiivisia nimipalvelimia ja juurinimipalvelimia käytetään hyväksi hyökkäyksissä. Jotta verkkotunnukseen liitetyt palvelut toimisivat, on verkkotunnuksen auktoritatiivisten nimipalvelinten vastattava kyseiseen verkkotunnukseen kohdistuviin osoitekyselyihin. Tämän vuoksi kyselyjä ei voi estää IP-osoitteiden perusteella. Hyökkäyksen vaikutuksia voidaan torjua nimipalveluohjelmistojen ominaisuuksilla, joiden avulla vastaamista samoista osoitteista tulleisiin kyselyihin rajoitetaan (rate limiting). Rajoittamisen voi tehdä myös erillisellä palomuurilla tai muulla laitteella, joka sijoitetaan verkkoon nimipalvelimen eteen. Auktoritatiivisten nimipalvelinten ei tulisi vastata rekursiivisiin nimipalvelupyyntöihin, eli niiden ei tulisi vastata kyselyihin muista kuin itse hallitsemistaan verkkotunnuksista.

LÄHDE: CERT-FI / Tietoturva nyt!