Атаки на корневые DNS-серверы: анализ устойчивости глобальной инфраструктуры

Интернет — это система систем. Не существует центрального комитета, который управлял бы тем, как он строится и эксплуатируется. Однако есть несколько подсистем, критически важных для безопасности функционирования всей сети. Одна из них — корневые серверы системы доменных имен (DNS). Если бы корневая система DNS стала недоступной, это было бы практически неотличимо от полного отключения интернета.

Корневая система DNS неоднократно подвергалась атакам на протяжении истории, и в некоторых случаях наблюдались частичные сбои. Тем не менее, она остается надежной благодаря репликации, избыточности и высокому уровню оперативного управления. В этой статье мы рассмотрим давление, которому подвергается корневая система со стороны DDoS-атак, основываясь на данных команды ASERT компании NETSCOUT.

Основные выводы исследования

• Система корневых DNS-серверов обладает высокой доступностью и устойчивостью к атакам.
• Механизм DNS Anycast является ключевым фактором живучести системы.
• Корневые серверы ежедневно сталкиваются со значительными объемами флуда и паразитного трафика.
• Разные экземпляры корневых серверов могут получать существенно различающиеся объемы трафика.

Типы атак на DNS

Атаки на DNS обычно делятся на два основных типа:

Нарушение целостности данных

• Компрометация сервера и изменение файлов зон.
• Манипуляция процессом разрешения имен «на лету» (например, отравление кэша DNS).

Отказ в обслуживании (DoS)

• Попытка вывести из строя авторитетный DNS-сервер. Чем выше уровень сервера в иерархии имен, тем шире последствия атаки.

Платформа видимости ATLAS предоставляет колоссальный объем телеметрии событий DDoS-атак

На графике ниже представлен хронологический обзор событий, направленных на корневые серверы.

Эксперты ASERT наблюдают различные векторы атак. Например, серверы «A» и «M» сталкиваются с многочисленными типами DDoS-векторов, в то время как другие серверы чаще видят комбинации общего трафика и атак через протокол ICMP.

Почему атакуют именно сервер «A»?

Существует несколько причин, по которым нагрузка распределяется неравномерно:

• Топологическая близость: BGP Anycast направляет запросы к ближайшему узлу, и некоторые инстансы естественным образом притягивают больше трафика.
• Исторический фактор: Сервер «A» часто атакуют просто потому, что это первая буква алфавита — простая, но вероятная причина.

На рисунке показан процентный обзор наблюдаемых DDoS-событий, показывающий распределение векторов по серверам.

Сравнение: Традиционная защита vs Подход NETSCOUT

Традиционные межсетевые экраны

• Приоритет: Проверка состояний соединений (Stateful inspection).
• Проблема: Часто становятся «узким местом» при массированном DNS-флуде, падая под нагрузкой раньше, чем само приложение.

Решение NETSCOUT Arbor + AIF

• Приоритет: Безсостоятельная фильтрация и адаптивная защита.
• Преимущество: Использование глобальной аналитики ATLAS для автоматической блокировки известных источников атак еще на периметре.

Рекомендация Softprom: Технология ATLAS Intelligence Feed

Проблематика атак на корневые серверы показывает, насколько важно иметь актуальные данные об угрозах в реальном времени. Для корпоративной инфраструктуры DNS мы рекомендуем использовать ATLAS Intelligence Feed (AIF) от NETSCOUT.

AIF — это не просто поток данных, а глубоко курируемая база знаний, которая:

• Автоматически вооружает устройства Arbor Edge Defense (AED) актуальными индикаторами компрометации (IoC).
• Обеспечивает «Адаптивную DDoS-защиту», которая обучается на основе глобального трафика (более 800 Тбит/с), видимого NETSCOUT по всему миру.
• Позволяет блокировать не только входящий флуд, но и исходящие коммуникации зараженных устройств с командными центрами ботнетов.

Понимание того, что видит "корень" интернета — это предвестник того, с чем может столкнуться любая организация завтра.