A Fair Solution to DNS Amplification Attacks

ABSTRACT

Recent serious security incidents reported several attackers employing IP spoofing to massively exploit recursive name servers to amplify DDoS attacks against numerous networks. DNS amplification attack scenarios utilize DNS servers mainly for performing bandwidth consumption DoS attacks. This kind of attack takes advantage of the fact that DNS response messages may be substantially larger than DNS query messages. In this paper we present a novel, simple and practical scheme that enable administrators to distinguish between genuine and falsified DNS replies. The proposed scheme, acts proactively by monitoring in real time DNS traffic and alerting security supervisors when necessary. It also acts reactively in co- operation with the firewalls by automatically updating rules to ban bogus packets. Our analysis and the corresponding experimental results show that the proposed scheme offers an effective solution, when the specific attack unfolds.

INTRODUCTION

Internet architecture and consequently the World Wide Web (WWW), at least at their early stages, have been designed without taken into serious consideration any security issues. Attackers try to exploit this fact in order to achieve an unauthorized access or to cause a Denial of Service (DoS) in the provided services. By the term DoS we mean any malicious attempt aiming to render the provided service and / or communication unavailable to legitimate users. More specifically, DoS attacks could take two major forms. In the first one, the adversary featly crafts packets trying to exploit vulnerabilities in the implemented software (service or a protocol) at the victim’s side. This category of attacks includes outbreaks like the ping of death . In the second one, the aggressor attempts to overwhelm critical system’s resources affecting the provided service, like memory, CPU, network bandwidth by creating numerous of well-formed but bogus requests. This type of attack is also well known as flooding. Various incidents in the Internet have been already reported in the literature as flooding attacks targeting either on the provided service or on the underlying network infrastructure. The most severe among them is presented in and is known as Reflection Distributed DoS (RDDoS). Such an attack can rapidly paralyze a targeted network realm, costing both money and productivity.

چکیده

حوادث امنیتی اخیر حادثه گزارش دادند که تعدادی از مهاجمان از IP استفاده می کنند که به طور گسترده ای از سرورهای نام مستعار استفاده می کنند تا حملات DDoS را علیه شبکه های متعدد تقویت کنند. سناریوهای حمله DNS تقویت شده از سرورهای DNS عمدتا برای انجام حملات DOS استفاده از پهنای باند استفاده می کنند. این نوع حملات از این واقعیت پیروی می کند که پیام های پاسخ DNS به طور قابل توجهی بزرگتر از پیام های پرس و جو DNS می باشد. در این مقاله ما یک طرح رمان، ساده و عملی ارائه می دهیم که مدیران را قادر می سازد تا پاسخ های واقعی و دروغین DNS را تشخیص دهند. طرح پیشنهادی، فعالانه با نظارت بر ترافیک DNS در زمان واقعی عمل می کند و در صورت لزوم به ناظران امنیتی هشدار می دهد. همچنین با همکاری با فایروال ها به صورت خودکار به روز رسانی قوانین برای ممنوعیت بسته های جعلی عمل می کند. تجزیه و تحلیل ما و نتایج تجربی مربوطه نشان می دهد که طرح پیشنهادی یک راه حل موثر را فراهم می کند، زمانی که حمله خاص به وجود می آید.

مقدمه

معماری اینترنتی و در نتیجه وب سایت جهانی (WWW)، حداقل در مراحل اولیه، بدون توجه به مسائل امنیتی طراحی شده اند. مهاجمان سعی می کنند از این واقعیت به منظور دستیابی به دسترسی غیر مجاز یا ایجاد انکار سرویس (DoS) در خدمات ارائه شده بهره برداری کنند. با اصطلاح DoS ما به معنای هر گونه تلاش مخرب است که با هدف ارائه سرویس ارائه شده و / یا ارتباط غیرمجاز به کاربران مشروع است. به طور خاص، حملات DoS می تواند دو شکل عمده را انجام دهد. در یکی از این موارد، دشمن، دست به کار شده است و تلاش می کند تا آسیب پذیری ها را در نرم افزار اجرا شده (سرویس یا پروتکل) در سمت قربانی مورد سوء استفاده قرار دهد. این دسته از حملات شامل شیوع بیماری هایی مانند سرطان مرگ است. در مرحله دوم، متجاوز از طریق ایجاد تعداد زیادی از درخواستهای به خوبی شکل گرفته ولی جعلی تلاش می کند منابع منابع بحرانی را که خدمات ارائه شده مانند حافظه، CPU، پهنای باند شبکه را تحت تاثیر قرار می دهد، غرق کند. این نوع حمله نیز به عنوان سیل شناخته می شود. حوادث مختلف در اینترنت در حال حاضر در ادبیات به عنوان حملات سیلابی هدف قرار داده شده یا در خدمات ارائه شده و یا در زیرساخت شبکه زیرزمینی گزارش شده است. در میان آنها شدید ترین است و به عنوان بازتاب توزیع دوو (RDDoS) شناخته می شود. چنین حملاتی به سرعت می تواند یک منطقه شبکه هدفمند را تجزیه و تحلیل کند که هزینه و بهره وری را هزینه می کند.

Year: 2007

Publisher : IEEE

By : Georgios Kambourakis, Tassos Moschos, Dimitris Geneiatakis and Stefanos Gritzalis