Sejarah dan Asal Usul
Serangan refleksi DNS ialah sejenis serangan penafian perkhidmatan (DDoS) teragih yang mengeksploitasi ciri Sistem Nama Domain (DNS) untuk mengatasi infrastruktur sasaran dengan jumlah trafik yang tidak diingini yang tinggi. Serangan ini memanfaatkan penyelesai DNS terbuka, menggunakannya untuk menguatkan volum trafik yang ditujukan kepada mangsa.
Sebutan pertama serangan refleksi DNS boleh dikesan kembali ke sekitar tahun 2006. Pada serangan awal DDoS, penyerang terutamanya menggunakan botnet untuk membanjiri sasaran secara langsung dengan trafik. Walau bagaimanapun, apabila pertahanan terhadap serangan sedemikian bertambah baik, penjenayah siber mencari taktik baharu. Mereka mendapati bahawa dengan menghantar pertanyaan DNS dengan alamat IP sumber palsu untuk membuka penyelesai DNS, mereka boleh mencetuskan penyelesai untuk menghantar respons yang lebih besar kepada mangsa, menguatkan serangan.
Maklumat Terperinci tentang Serangan Refleksi DNS
Serangan pantulan DNS biasanya mengikut langkah berikut:
-
IP Sumber Spoof: Penyerang memalsukan alamat IP sumber dalam paket pertanyaan DNS untuk menjadikannya kelihatan seolah-olah permintaan itu datang daripada sasaran.
-
Buka Penyelesai DNS: Penyerang menghantar pertanyaan DNS palsu ini untuk membuka penyelesai DNS. Penyelesai ini boleh diakses secara umum dan salah konfigurasi untuk menjawab pertanyaan daripada mana-mana alamat IP.
-
Faktor Penguatan: Penyelesai DNS terbuka menerima pertanyaan palsu dan, mempercayai ia adalah permintaan yang sah, menghantar respons mereka kepada sasaran menggunakan alamat IP sasaran. Respons biasanya lebih besar daripada pertanyaan asal, menguatkan trafik serangan.
-
Mengatasi Sasaran: Sasaran, kini dibanjiri dengan jumlah trafik yang besar, bergelut untuk mengendalikan kadar permintaan yang tinggi, yang membawa kepada kemerosotan perkhidmatan atau ketiadaan sepenuhnya.
Ciri Utama Serangan Refleksi DNS
Serangan refleksi DNS mempamerkan beberapa ciri utama yang menjadikannya sangat berkesan:
-
Faktor Penguatan: Serangan mengambil kesempatan daripada perbezaan besar dalam saiz antara pertanyaan DNS dan respons. Faktor penguatan ini boleh menjadi 50 hingga 100 kali ganda, bermakna pertanyaan kecil boleh membawa kepada tindak balas yang lebih besar.
-
Mudah untuk Dilancarkan: Serangan memerlukan sumber minimum dari pihak penyerang, menjadikannya menarik kepada penjenayah siber baru. Banyaknya penyelesai DNS terbuka yang tersedia di internet memudahkan lagi melancarkan serangan.
-
Alam Semulajadi: Seperti serangan DDoS lain, serangan refleksi DNS diedarkan, bermakna berbilang sumber terlibat dalam membanjiri sasaran, menjadikannya lebih sukar untuk dikurangkan.
-
Protokol UDP: Serangan dijalankan terutamanya menggunakan paket User Datagram Protocol (UDP), yang tidak memerlukan jabat tangan seperti paket Transmission Control Protocol (TCP), menjadikannya lebih sukar untuk dikesan kembali ke sumbernya.
Jenis Serangan Refleksi DNS
Serangan refleksi DNS boleh dikategorikan berdasarkan jenis pertanyaan DNS yang digunakan dan saiz tindak balas. Jenis yang paling biasa termasuk:
| Jenis Serangan | Ciri-ciri |
|---|---|
| Pertanyaan Standard | Penyerang menghantar pertanyaan DNS biasa. |
| SEBARANG Pertanyaan | Penyerang menghantar pertanyaan DNS untuk SEBARANG rekod. |
| Pertanyaan Tidak Wujud | Penyerang menghantar pertanyaan untuk nama domain yang tidak wujud. |
| Pertanyaan EDNS0 | Penyerang menggunakan Mekanisme Sambungan untuk DNS (EDNS0) untuk meningkatkan saiz tindak balas. |
Cara Menggunakan Serangan dan Penyelesaian Refleksi DNS
Serangan pantulan DNS telah disalahgunakan dalam pelbagai cara, termasuk:
-
Mengganggu Perkhidmatan: Penyerang menggunakan serangan refleksi DNS untuk mengganggu perkhidmatan dalam talian, menyebabkan masa henti dan kerugian kewangan kepada perniagaan.
-
Menyamarkan Sumber: Dengan memalsukan alamat IP sumber, penyerang boleh membuat trafik serangan kelihatan datang daripada IP mangsa, yang membawa kepada kekeliruan yang berpotensi semasa tindak balas insiden.
-
Melangkaui Langkah-langkah Pertahanan: Serangan refleksi DNS boleh digunakan sebagai taktik pengalihan untuk mengalihkan perhatian pasukan keselamatan, manakala serangan lain dilakukan serentak.
Penyelesaian:
-
Mengehadkan Kadar: Pembekal Perkhidmatan Internet (ISP) dan pengendali penyelesai DNS boleh melaksanakan dasar mengehadkan kadar untuk mengehadkan bilangan respons yang mereka hantar ke alamat IP tertentu, mengurangkan faktor penguatan.
-
Pengesahan IP Sumber: Penyelesai DNS boleh melaksanakan pengesahan IP sumber untuk memastikan bahawa respons dihantar hanya kepada peminta yang sah.
-
Had Saiz Respons DNS: Pentadbir rangkaian boleh mengkonfigurasi penyelesai DNS untuk mengehadkan saiz respons untuk mengelakkan penguatan.
-
Menapis Penyelesai Terbuka: ISP dan pentadbir rangkaian boleh mengenal pasti dan menapis penyelesai DNS terbuka untuk mengelakkan penyalahgunaannya dalam serangan.
Ciri-ciri Utama dan Perbandingan
| Ciri | Serangan Refleksi DNS | Serangan Amplifikasi DNS | Serangan Banjir DNS |
|---|---|---|---|
| Kaedah Serangan | Mengeksploitasi penyelesai terbuka untuk menguatkan trafik | Menggunakan pelayan DNS yang salah konfigurasi untuk menguatkan trafik | Mengatasi infrastruktur DNS sasaran dengan kadar permintaan yang tinggi |
| Faktor Penguatan | Tinggi (50-100x) | Tinggi (10-100x) | rendah |
| Kesukaran Pelaksanaan | Agak Mudah | Agak Mudah | Memerlukan lebih banyak sumber |
| Kebolehkesanan | Lebih sukar untuk dikesan | Lebih sukar untuk dikesan | Lebih sukar untuk dikesan |
Perspektif dan Teknologi Masa Depan
Memandangkan internet terus berkembang, serangan pantulan DNS mungkin berterusan disebabkan oleh kelemahan yang wujud dalam penyelesai DNS terbuka. Walau bagaimanapun, kemajuan dalam keselamatan rangkaian, seperti penggunaan DNSSEC (Sambungan Keselamatan Sistem Nama Domain) dan konfigurasi penyelesai DNS yang lebih selamat, boleh mengurangkan kesan serangan sedemikian dengan ketara.
Teknologi masa depan mungkin menumpukan pada mekanisme pemantauan dan penapisan yang lebih baik di peringkat penyelesai DNS untuk mengesan dan menghalang penyelesai terbuka daripada dieksploitasi. Selain itu, kerjasama yang dipertingkatkan antara ISP dan pentadbir rangkaian untuk menangani salah konfigurasi secara proaktif boleh mengurangkan lagi risiko serangan pantulan DNS.
Pelayan Proksi dan Serangan Refleksi DNS
Pelayan proksi secara tidak sengaja boleh menjadi sebahagian daripada serangan pantulan DNS jika ia salah konfigurasi untuk bertindak sebagai penyelesai DNS terbuka. Penyerang boleh mengeksploitasi salah konfigurasi sedemikian untuk menguatkan trafik serangan mereka dan mengarahkannya ke arah sasaran yang dimaksudkan. Pembekal pelayan proksi seperti OneProxy mesti melaksanakan langkah keselamatan yang ketat untuk menghalang pelayan mereka daripada digunakan dalam serangan sedemikian.
Pautan Berkaitan
Untuk mendapatkan maklumat lanjut tentang serangan pantulan DNS, anda boleh merujuk kepada sumber berikut:
- Pusat Penyelarasan CERT: Serangan Amplifikasi DNS
- Makluman US-CERT: Serangan Amplifikasi DNS
- Cloudflare: Serangan Amplifikasi DNS
Ingat, sentiasa bermaklumat dan berwaspada terhadap ancaman siber adalah penting dalam menjaga integriti dan ketersediaan perkhidmatan dalam talian.
