Maja på RIPE77: DNS og tjenestenektangrep

Leave a comment

2018-10-22 by FRK.ENES

ripe77

RIPE er, som jeg forklarte i forrige bloggpost, et europeiske nettverk for folk som jobber med IP og IP-adresser. På RIPE77 hadde man som seg hør og bør også representanter fra IP-nettverkene i de andre regionene. Under gjennomgangen til APNIC (Asia-Pacific Network Information Centre) om hva de hadde gjort siden sist, beskrev Paul Wilson en undersøkelse om hva som rører seg hos deres kunder (internettleverandører). Blant dette handlet det også om hva som var de største sikkerhetsutfordringene:

1. Phising, spam, malware…

2. DDoS-attacks

3. Intrusion and other breaches

Når det gjelder phising, spam og malware er så handler det om at folk må slutte å trykke på en link som sier de vinner en gratis iPhone om de trykker på den, eller at de skal få mange millioner dollar på kontoen bare de sender avgårde personnummer, kontonummer, kredittkortummer og CVC-kode, eller at de skal få besøk av en snasen kjæreste bare de sender penger til flybillett. “Intrusion and other breaches” er det de fleste av oss tenker på som tradisjonell hacking: Det er noen som jobber med å få tilgang på systemer eller lokal informasjon på andre sin datamaskin, og utnytter informasjonen man får der. Enten det er å stjele bilder fra noen sin mobiltelefon eller det er å følge med på hemmelige dokumenter i utenrikstjenesten. DDoS-angrep, som på norsk heter tjenestenektangrep, er et langt mer vanlig angrep enn teknologiske innbrudd. Hva er det, og hvorfor skjer det?

Vi kommer til det, jeg skal bare forklare kort hva DNS er.

DNS er domenenavnsystemet. Domenenavnsystemet ligger (som så mange andre funksjoner) på servere. Domenenavnsystemet fungerer som en administrator med kontroll over alle destinasjoner: Du sitter på din datamaskin (pålogget ditt foretrukne nettverk) og skriver inn en nettstedsadresse (for eksempel frkenes.no/blogg). Når du trykker enter sender du en forespørsel om å få tilgang til den siden. Forespørselen går til DNS-en som finner frem rett IP-adresse til nettstedet, og sender trafikken din til riktig nettsted. Datamaskinene kommuniserer ikke med bokstaver og (nettsteds)adresser – de kommuniserer med tall og IP-adresser. DNS gjør at du ikke bare slipper du å gå rundt og huske på IP-adresser, men oppslagene går fort og er nøyaktige, og kort fortalt gjør domenenavnsystemet at datatrafikken på Interentt fungerer som den skal. Du kan forvente å komme til samme nettsted hver gang du skriver samme adresse.

Domenenavnsystemet er en essensiell del av selve Internet, en av grunnsteinene. Det betyr også at teknologien er gammel. Og du vet hva sier om teknologi og sikkerhet? “Ethvert system som ikke er hacket, er bare ikke hacket enda“. Teknologien til domenenavnsystemet er gammel og sårbar, og dette er en stadig økende prøvelse for dagens nettverksoperatører. Arbeid rundt tjenestenektangrep (DDoS-angrep) ble derfor presentert fra forskjellige vinkler i flere foredrag under RIPE77.

Da er vi tilbake til tjenestenektangrep (DDoS-angrep – Distributed Denial of Service). Angrepet foregår slik: Angriperen sender en hel haug forespørsler om å få tak i en IP-adresse. Mange forespørsler på en gang gjør at serveren nettstedet ligger på ikke klarer å håndtere alle forespørslene. Dermed blir nettstedet som angripes utilgjengelig – vi sier det kræsjer. Et slikt kræsj kan også skje dersom veldig mange går inn på en nettside samtidig, uten at det er ment som et angrep. Selv har jeg opplevd slike kræsj flere ganger både på Billettservice og på Altinn. Kapasiteten til disse sidene blir sprengt, og det ender med at ingen kommer inn på siden. Tjenestenektangrep er å kræsje sider med vilje ( – at nettstedene kræsjer tilfeldig fordi de er populære handler om dårlig planlegging).

Det som er urovekkende for gjengen på RIPE77 er at tjenestenektangrepene får stadig flere verktøy for å gjøre angrepene både enklere å gjennomføre og mer effektive. En type verktøy er “amplifiers” som går ut på en angriper later som om de sender en forespørsel fra en IP-adresse, for eksempel min (altså ikke sin egen). Og ikke bare sender de en forespørsel, de ber også om å få svar mange, mange ganger. Når DNS da svarer på denne forespørselen vil siden som blir angrepet – min side – kræsje. Kompetente angripere er målbevisste og følger med på angrepet, og endrer strategi i løpet av angrepet dersom det viser seg at angrepet blir møtt eller stanset underveis av de som forsøker å beskytte nettverket.

At deler av Internett blir utilgjengelig vil for deg og meg (Internettbrukere) være frustrerende, men det kan bli alvorlige konsekvenser av slike angrep. For bedrifter som har nødvendig kommunikasjon over Internett – la oss si Politiet, Nødnettet eller et sykehus – vil et angrep kunne bety kritiske situasjoner. For politiske institusjoner, rettsystemer, valgsystemer etc. er slike angrep et demokratisk problem.

Det er så langt ikke kommet noen løsning på hvordan hindre at slike angrep skjer (be folk om å være greie og slutte å angripe?), så derfor rettes fokuset mot hva man kan gjøre for å møte angrepet og begrense skadeomfanget. Det finnes ingen fasit på hva som kan gjøres – uttrykket “en enkel løsning kan få kompliserte konsekvenser, mens en komplisert løsning kan få enkle konsekvenser” ble brukt for å tydeliggjøre hvorfor det ikke finnes enkle løsninger på dette (en kort, veldig fornøyelig lightning talk som ble kalt “wrong, wrong, WRONG! Methods of DDoS mitigation” om hvordan man ikke skal hindre tjenestenektangrep ligger ute på RIPE sine sider).

Toma Gavrichenkov

Om du forventet en konklusjon og en løsning på dette innlegget, får du ikke det. Arbeid med sikkerhet rundt DNS er pågående og blir forsøkt løst fra forskjellige vinkler. I tillegg til lightning talken til Töma Gavrichenkov (som jeg nevnte over her) var det også andre foredrag om DNS i plenum på RIPE77. De fleste foredragene på RIPE77 kan i større eller mindre grad knyttes til DNS på en eller annen måte. Jeg mener – det er tross alt et møte i det europeiske IP-nettverket (og jeg forklarte forholdet mellom DNS og IP-adresser, sant?). Foredragene er rimelig tekniske, men jeg vet at jeg har noen lesere som er mer teknologisk kompetente enn det målgruppa mi egentlig tilsier. Så her er en liten oversikt over foredragene som tydeligst handlet om DNS:

Steinthor Bjarnason: Withstanding the Infinite: DDoS Defense in the Terabit Era – Handler om utviklingen i tjenestenektangrep.

Sara Dickinson: It’s DNS Jim, But Not as We Know It – Handler om en ny måte å bruke DNS over nettlesere (HTTPS) istedenfor via nettverket (TLS).

Giovane Moura: When the Dike Breaks: Dissecting DNS Defenses During DDoS – Handler om cache under et tjenestenektangrep.

I tillegg var det en egen DNS working group, altså et eget gjeng, som kun snakket om DNS. I tre timer. Her er en liste over foredragene i denne gruppa.

 

Forsidebildet på bloggposten er ventebildet fra RIPE77 sine videoarkiv

Kommenter

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: