De Dyn-aanval trok veel grote websites voor een groot deel van de dag offline, inclusief Twitter, PayPal, Netflix, Reddit en Amazon. Miljoenen overgenomen internetverbonden apparaten in het botnet Mirai werden ingezet om de DNS-diensten van Dyn plat te leggen met tot aan 1,2 Tbps aan verzoeken, waardoor het onmogelijk wordt om aan echte DNS-verzoeken te voldoen.
Memcached-aanvallen
Dat was nog maar een voorproefje, want nieuwe methodes zorgen voor een capaciteit die 50.000 maal hoger is, zo meldde netwerkbedrijf en DDoS-specialist Arbor Networks dinsdag in een verontrustend rapport. Hiervoor wordt nu al in het wild populaire servertool memcached misbruikt. Die cachesoftware wordt door veel websitebeheerders gebruikt en levert nu al 500 Gbps-aanvallen op, terwijl minder dan 6000 van de in totaal 88.000 kwetsbare servers wordt gebruikt.
Cloudflare verwacht dat we hier de komende weken al de wrange vruchten van plukken, met regelmatige aanvallen die met gemak de een terabit per seconde voorbij schieten. Dat maakt de Dyn-aanvalscapaciteit de nieuwe norm, in plaats van een excessieve uitzondering. Toevallig waarschuwden onderzoekers van Harvard onlangs voor een wereld waarbij grootschalige DDoS aan de orde van de dag is.
Appeltje te schillen
De aanvallers waren toen geen geavanceerde staatsaanvallers die een ontwrichtende aanval openen op de infrastructuur van een vijand, maar waarschijnlijk een doorsnee slechterik die een appeltje te schillen had. De aanval volgde namelijk kort op een DDoS van hetzelfde botnet op de site van securityjournalist Brian Krebs. Dyn had Krebs geholpen de twee Israëlische daders te achterhalen die DDoS te huur aanboden. Prompt werd ook Dyn aangevallen en daardoor kraakte een flink stuk van het internet.
Dat onbeveiligde IoT-apparaten massaal worden gekocht en aangesloten zonder patchmogelijkheden is breed bekend, maar dat slechte serverconfiguraties en de centralisatie van DNS voor een groter probleem zorgen, is iets wat extra aandacht verdient. Dat is de les die we kunnen trekken uit de berichten van Arbor Networks, Harvard en Cloudflare.
Als een SPoF faalt
DNS is ontworpen om gedistribueerd te zijn, maar de auteurs van het Harvard-onderzoek merken op dat de toegenomen centralisatie een single-point-of-failure heeft opgeleverd. "Het succes van de Dyn-aanval onderstreept dat zelfs grote bedrijven kwetsbaar zijn geworden met een geconcentreerde DNS-aanbieders met maar weinig provider-diversificatie onder domeinbeheerders."
Hierna: Er wordt nog steeds weinig zelf gehost, ook na de aanval die liet zien dat DNS een SPoF begint te vormen.
Hoe is dit zo gekomen? Onze liefde voor de computers van andere mensen - oftewel de cloud - heeft geleid tot een consolidatie van de infrastructuur die de originele bedenkers van DNS niet hadden kunnen voorzien. In de goede oude tijd, hadden bedrijven vaak hun eigen DNS-servers op locatie staan.
Hapering door DNS-concentratie
Oudere, stabiele bedrijven hosten nog regelmatig een eigen DNS en zijn minder afhankelijk van deze diensten, maar de opkomst van cloud als vervanger voor een lokale infrastructuur, betekent dat jonge bedrijven alles outsourcen naar de cloud, inclusief DNS. Dat hebben we gemerkt toen Dyn struikelde onder het gewicht van een enorme DDoS en vooral techbedrijven haperden of tot stilstand kwamen.
"De concentratie van DNS-diensten bij een klein aantal partijen onthult een Single Point of Failure die je niet zag onder de gedistribueerde aanpak van DNS enkele jaren terug", vertelt Harvard's John Bowers, co-auteur van het rapport, in een interview met zustersite CSO. "De Dyn-aanval is een perfecte illustratie van dit risico, omdat enkele high-profile sites en Content Delivery Networks (CDN's) deze provider gebruikten."
Meet diversificatie
Het schokkendse aspect van het rapport is dat de dreiging duidelijk is, maar dat er maar weinig bedrijven zijn met een secundaire DNS. Er is voldoende media-aandacht geweest na de DDoS-aanvallen in 2016 en diverse deskundigen vertelden dat we een probleem hebben met een DNS-monocultuur. De huidige cijfers wijzen uit dat we niet hebben geluisterd.
We spraken een paar maanden terug met Dyn en noteerden weinig positief nieuws met nog steeds genegeerd DNSsec en groeiende IoT-botnets. Lees er meer over in: Wat is er veranderd één jaar na de Dyn-aanval?
"Het lijkt erop dat de lessen van de Dyn-aanval vooral zijn opgepikt door de partijen die er direct last van hadden", merkt het rapport op. Voor dat grote DDoS-incident had meer dan 90 procent van de onderzochte domeinen één provider. Na de aanval daalde dat in een half jaar tijd vab van 92,2 naar 87, 3 procent. En dat waren vooral specifiek Dyn-klanten die de uitval van dichtbij meemaakten.
Hele stack diversificeren
Zelfs Dyn, nu onderdeel van Oracle, biedt een secundaire DNS-dienst en stimuleert klanten om deze te gebruiken. Dyn's architectuurdirecteur Andrew Sullivan liet aan onze zustersite weten dat "websitebeheerders hun hele stack moeten diversificeren en componenten kiezen als DNS-diensten, webfirewalls en DDoS-bescherming die diversiteit ondersteunen."
Een probleem met het uitbreiden van externe DNS-providers is dat het vaak wordt gebundeld met andere diensten, zoals een CDN en DDoS-bescherming. CloudFlare heeft bijvoorbeeld een aandeel als DNS-provider van meer dan 15 procent onder de in het onderzoek meegenomen domeinen. Paradoxaal genoeg zorgt diens DDoS-beschermingsdienst ervoor dat het niet mogelijk is om naamservers die door andere providers worden gedraaid te gebruiken.
Op de laatste pagina: maar er zijn ook oplossingen.
Er is een trend dat cloudgebaseerde platforms een pakket diensten biedt, waarvan DNS er één is. Amazon AWS kan een DDoS-aanval weerstaan, zou je wellicht denken. Maar we hebben meerdere gevallen gezien waarin bleek dat zowel ongelukken (S3 ging neer door een tikfoutje) en aanvallen (de Dyn-DDoS) de dienst onderuit trokken en bleek dat dit een gevoelige kwetsbaarheid is die gepaard gaat met de afhankelijkheid van gecentraliseerde diensten.
Wiens DNS gebruik je?
Je zou geen brug bouwen zonder redundantie, dus waarom zou je dat wel doen met een DNS-infrastructuur? Het eerste wat je zou moeten doen is uitvogelen wat de huidige configuratie is. Controleer je naamservers met:
dig +ns [jouwdomein]
"Als de namen die terugkomen niet in je eigen domein zitten, betekent dat dat DNS door iemand anders wordt verzorgd", vertelt Akamai-CSO Andy Ellis aan zustersite CSO. "Dat stemt tot nadenken: is dit zoals het moet? Voor de meeste bedrijven is dat antwoord 'nee'. Als je al een CDN-leverancier hebt, is er een gerede kans dat je een DNS-dienst bij je contract zit of als add-on beschikbaar is. Dat is een snelle manier om van provider te wisselen."
Sites met niet zo veel verkeer hebben doorgaans twee naamservers, maar je kunt er in totaal acht gebruiken binnen DNS. Ellis adviseert om ze allemaal te gebruiken, met een configuratie met zones die elk hun eigen naamservers hebben (6:2-configuratie). Organisaties die meer redundantie vereisen, kunnen kiezen voor een 5:2:1-configuratie.
Dit is nauwelijks nieuw te noemen: het is een best practice die al gedocumenteerd werd in 1997 in RFC 2182. "Een reden om meerdere servers te gebruiken voor elke zone is om informatie van de ene zone breed en betrouwbaar beschikbaar te kunnen stellen aan alle clients van het internet, zelfs als een server onbereikbaar is", zo merkt het rapport van Harvard op over RFC 2182.
Redundantie en diversificatie
Sommige van de RFC-adviezen zijn inmiddels achterhaald - het ruilen van secundaire zones met een andere organisatie is inmiddels wat archaïsch - maar de fundamentele principes die wijzen op een centrale point of failure en de noodzaak voor redundantie zijn onveranderd. "Redundantie van verschillende providers geeft je schaalmogelijkheden en zorgt ervoor dat issues bij één provider je bedrijfsvoering niet in gevaar brengt", zegt Ellis.
Centrale kwetsbare plekken in het internet mogen niet bestaan, vooral omdat we in een tijd leven dat iedere halve zool een botnet kan inhuren om grote websites grote delen van de dag plat te leggen, zoals we in januari nog in Nederland ondervonden toen een baldadige tiener diverse banken grote problemen gaf. Dat risico beperken door je DNS te diversificeren is een simpele maar zeer noodzakelijke stap.
"Het is niet zo moeilijk om te doen en kost niet zoveel", zegt Harvard's professor Shane Greenstein. "Het is om eerlijk te zijn we een gedoe voor een heel groot bedrijf, maar dat mag geen excuus zijn. IT-beveiliging is eenmaal gedoe, en dit is een kleintje vergeleken met andere preventieve maatregelen."
-
-
Er zijn nog geen reacties.Reageer
Preview