Шта је DNS систем, зашто је важан за функционисање Интернета каквог знамо и са каквим се безбедносним изазовима суочава, погледајте у презентацији Жарка Кецића, руководиоца Сектора за ИКТ услуге у РНИДС-у.

1. DNS систем и
безбедност
Жарко Кецић
Математички факултет / октобар 2015. Београд

2. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
DNS и безбедност!?
Чему брига око DNS-а?
DNS је веома моћан, свеприсутан и
углавном игнорисан.
ТО ЈЕ ВЕОМА ОПАСНА КОМБИНАЦИЈА!

3. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
DNS је често занемарен!
DNS углавном није у фокусу, када су у питању инвестиције, а често ни када
је у питању одржавање сервиса.
Када говоримо о DNS систему, многи користе:
• старе верзије софтвера,
• стару опрему,
• низак ниво редундантности,
• никакве или алате ниске оперативне вредности за праћење рада DNS-а,
• неадекватне (неискусне) DNS администраторе.
DNS није „cool“!

4. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Практично, све апликације се
ослањају на DNS
 и-мејл
 WWW
 Peer to peer апликације
 Instant messaging
 Voice over IP, итд…
Практично, све апликације на Интернету зависе од DNS-а. То DNS сервис
ставља у потпуно различиту категорију у односу на остале Интернет
сервисе. Ако, на пример, и-мејл не ради, све остало ће радити, али ако DNS
стане скоро све остало ће стати.
DNS је једна од кључних технологија без које
Интернет не би функционисао!

5. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Ако контролишем ваш DNS…
… могу да контролишем ваш свет.
Користите online banking? Тргујете на eBay-у? Шаљете и примате важне и-
мејл поруке? Ако неко контролише ваш DNS може вас преусмерити где год
жели.
Већина корисника не разуме DNS, пре свега, јер им није ни потребно да
разумеју како ради да би користили Интернет. DNS једноставно
функционише!
Баш зато што DNS „једноставно функционише“, нико му не посвећује
потребну пажњу и веома мало се говори о чињеници да DNS може веома
лако да буде искоришћен за злонамерне активности.
Због тога су нам потребни ИТ професионалци – ВИ! – да за своје кориснике,
и све кориснике Интернета, воде рачуна о DNS-у.

6. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Карактеристике DNS-а
 Да буде увек доступан – ако DNS није доступан, за његове кориснике Интернет је
„пао“ (или, ако је сервер ауторитативан за зону, та зона није доступна осталим
корисницима)
 Да буде поуздан – ако DNS враћа нетачне вредности корисници могу бити
преусмерени на интернет локацију где ће његови поверљиви подаци бити
компромитовани, или на локацију која може да „зарази“ компјутер
 Да буду брзи – учитавање једне веб стране може да захтева десетине, па и
стотине DNS упита (како би се осећали када би одговор на сваки упит чекали само
секунду?)
 Да буду прилагодљиви и флексибилни – постоје различите намене и потребе
корисника
 Да буде проширив – има много ствари које DNS може да обавља, још увек не
знамо шта је то, али треба оставити могућност да се DNS развија
Хајде да видимо како DNS функционише!

7. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Када сам био мали желео сам да
будем DNS администратор!
• Бити DNS администратор није баш престижан посао (мали број деце тежи
да буде DNS администратор – већина њих жели да буде маркетинг
менаџер  )
• Код нас, а и у свету, нема скупова чија је тематика искључиво развој и
оперативна пракса везана за DNS. Једини изузетак је ISC-ов DNS-OARC
(https://www.dns-oarc.net/)
• Стога је DNS оперативно критичан, а истовремено небитан, до тачке када
је за већину нејасан и непознат.
Колико пажње посвећујете својим DNS серверима?

8. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
DNS систем
Основни задатак DNS система
је мапирање назива домена у IP
адресу:
 www.rnids.rs = 87.237.205.199
 Као и многа друга мапирања
(и-мејл сервер (MX), IPv6 (AAAA),
инверзно мапирање…)
DNS је хијерархијски организован
 Свака зона има ауторитативну
DNS структуру и садржи
локалне податке.
Root
срб rs com
rnidsпр ciscoac
ni bg

9. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Како ради DNS
Caching
DNS сервер
Корисник
Root
DNS сервер
DNS упити се разрешавају у неколико корака
– од хијерархијски виших нивоа ка нижим.
rs DNS сервер
rnids.rs DNS сервер
www.rnids.rs A?
www.rnids.rs A
87.237.205.199

10. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Ланац DNS одговора
;; global options: printcmd
. 16730 IN NS a.root-servers.net.
. 16730 IN NS l.root-servers.net.
. 16730 IN NS h.root-servers.net.
. 16730 IN NS b.root-servers.net.
. 16730 IN NS k.root-servers.net.
. 16730 IN NS f.root-servers.net.
. 16730 IN NS c.root-servers.net. …
;; Received 228 bytes from 82.117.194.2#53(82.117.194.2) in 12 ms
rs. 172800 IN NS l.nic.rs.
rs. 172800 IN NS k.nic.rs.
rs. 172800 IN NS h.nic.rs.
rs. 172800 IN NS g.nic.rs.
rs. 172800 IN NS f.nic.rs.
rs. 172800 IN NS d.nic.rs.
rs. 172800 IN NS b.nic.rs.
rs. 172800 IN NS a.nic.rs.
;; Received 460 bytes from 198.41.0.4#53(a.root-servers.net) in 18 ms
rnids.rs. 3600 IN NS ns1.nic.rs.
rnids.rs. 3600 IN NS ns2.rnids.rs.
rnids.rs. 3600 IN NS odisej.telekom.rs.
rnids.rs. 3600 IN NS ns1.rnids.rs.
;; Received 221 bytes from 194.146.106.114#53(l.nic.rs) in 0 ms
www.rnids.rs. 3600 IN CNAME web-server.rnids.rs.
web-server.rnids.rs. 3600 IN A 87.237.205.199
rnids.rs. 3600 IN NS ns1.nic.rs.
rnids.rs. 3600 IN NS odisej.telekom.rs.
rnids.rs. 3600 IN NS ns1.rnids.rs.
rnids.rs. 3600 IN NS ns2.rnids.rs.
;; Received 262 bytes from 147.91.8.6#53(ns1.nic.rs) in 14 ms

11. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Слабости DNS-а
DNS је дизајниран да подаци буду доступни
• DNS подаци се реплицирају на више сервера
• DNS зона „ради“ ако је и само један сервер доступан.
DDoS напад на root зону мора да онеспособи 13 root сервера.
DNS не укључује проверу валидности података
• Било који DNS одговор се прихвата
• Нема начина да ресолвер разликује исправне од неисправних
одговора
Само један root сервер са невалидним подацима може да поремети читав
Интернет.

12. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Лоши момци знају слабе
тачке DNS сервиса
Због својих слабости DNS сервис представља сталну мету
злонамерних корисника Интернета.
Циљеви нападача могу бити различити, од политичких и верских до
материјалних, или једноставно деструктивних. Напади могу бити изведени на
различите начине:
• Man in the middle – пресретање и измена DNS пакета.
• Cache poisoning – када се погрешне информације убацују у DNS податке
које многи сервери чувају у локалној бази.
• Malware – деструктивни програми који могу да измене host фајл или
податке о DNS серверима.
• DoS, DDoS и rDDoS напади – DNS представља једну од најкоришћенијих
технологија за спровођење напада на друге системе (botnet command and
control)

13. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Може ли одговор да изгледа
овако?
Caching
DNS сервер
Корисник
Root
DNS сервер
У ствари www.rnids.rs = 87.237.205.199
rs DNS сервер
rnids.rs DNS сервер
www.rnids.rs A?
www.rnids.rs A
68.178.242.111

14. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Једноставан MITM напад
Caching
DNS сервер
Корисник
www.rnids.rs A?
www.rnids.rs A
87.237.205.199
Root
DNS сервер
rs DNS сервер
ac.rs DNS сервер
(…)
Први одговор који стигне „побеђује“, сви
стали су одбачени!

15. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Комплекснији напад
Cache poisoning
Сви корисници „зараженог“ DNS сервера добијају погрешан одговор!
Вероватноћа = 1 − 1 −
1
𝑡
𝑛 𝑛−1
2

16. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Distributed Denial of Service
(DDoS) напад
Крајем марта 2013. цео Интернет је успорио!?
Крајем марта, светом је прострујала вест да је на anti-spam провајдера
Spamhaus извршен највећи DDoS (Distributed Denial of Service) напад у
историји Интернета. За напад је оптужен холандски хостинг провајдер
Cyberbunker чији су сервери за слање електронске поште претходно
стављени на црну листу од стране Spamhausa. Како је могуће да један
хостинг провајдер генерише саобраћај од 400Gb/s?
Пре објашњења, морамо да попричамо о специфичној техничкој рањивости
DNS система.

17. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
TCP и UDP саобраћај
 TCP саобраћај је повезан са стабилном двосмерном везом (као што су ssh
сесије, веб саобраћај, и-мејл, итд.), и има велики број карактеристика које
су пожељне, гледано из угла програмера мрежних апликација –
понављање (ретрансмисија) изгубљених или оштећених пакета, контрола
загушења, итд.
 UDP саобраћај је дизајниран за апликације које не захтевају стабилну
двосмерну везу – „пошаљи и заборави“ („send-it-and-forget-it“). DNS, NFS, и
IP видео саобраћај најчешће користе UDP.
За разлику од потпуно успостављене TCP везе (након размене низа порука)
UDP саобраћај може бити креиран са било које IP адресе – укључујући и IP
адресе које немају никакве везе са стварним пошиљаоцем поруке.
Саобраћај који је намерно креиран са лажном IP адресом је „spoofed“.
(Користи се и код TCP SYN напада)

18. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Употреба лажне (spoofed)
адресе
Ако не размишљате као нападач нећете одмах схватити зашто би ико
користио лажну адресу. Има неколико разлога:
 Жели да остане анониман
 Жели да његов систем остане што дуже неблокиран
 Жели да саобраћај усмери ка рачунару жртве
IP = 1.2.3.4
IP = 1.2.3.4
IP = 151.62.74.83
151.62.74.83
IP = 151.62.74.83
1.2.3.4
20b/q q x 200

19. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
DDoS напад
„Botnet“ или мрежа зомбија je велики
број рачунара на Интернету који
су заражени злонамерним програмом
који контролише нападач.
Власници тих рачунара нису свесни да
нападач користи њихове ресурсе за
напад на рачунар/систем жртве.

20. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
rDDoS – рефлекторски
(амплифицирани) DDoS напад
DNS сервери су најчешће коришћени
„рефлектори“ за реализацију rDDoS
напада.
Одговор DNS сервера
може бити 200 до 300
пута већи од величине
DNS упита.
За напад на Spamhaus
употребљен је botnet и „отворени“
DNS ресолвери широм света.
Процењује се да у свету има више од
20 милиона лоше конфигурисаних DNS
сервера.

21. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Како се одбранити
 Редовно проверавати ДНС рекорде у родитељској зони
 Забранити саобраћај адресама које нису део вашег система (SAV –
Source Address Validation)
 Редовно ажурирање софтвера (инсталација нових верзија DNS сервера и
надградњи)
 Разрешавање DNS упита само за кориснике вашег система
 Активирати „Response Rate Limiting“ (RRL) на ауторитативним серверима
који одговоре пружају свима
 DNSSEC!!!
РНИДС би ускоро требало да потпише обе TLD зоне и све зоне другог
нивоа које су у његовој надлежности.

22. Математички факултет / октобар 2015. БеоградDNS систем и безбедност / Жарко Кецић
Хвала на пажњи
Жарко Кецић
zarko.kecic@rnids.rs
rnids.rs
рнидс.срб
domen.rs
домен.срб