Anonymous hrozí napadením DNS. Můžou uspět?

Na webu Pastebin.com se objevilo další z oznámení hnutí Anonymous, které je tentokrát nazvané „Operation Global Blackout“. Vyzývá k dalšímu násilnému protestu formou masivního DDoS útoku na klíčový prvek celého internetu – kořenové DNS servery.

Později se objevily zprávy od jiných Anonymous, kteří se od celého činu distancovali. Nelze ovšem říci, které oznámení je „oficiálnější“, protože hnutí Anonymous nemá žádné oficiální zástupce a kdokoliv se prohlásí za člena, se jim tímto prohlášením okamžitě stává.

K útoku má dojít 31. března a cílem je vyřadit z provozu systém DNS. Uživatelé pak nebudou mít možnost překládat si doménová jména na IP adresy a tím dojde prakticky k výpadku internetu. Pamatujte, že jde o protest. Nesnažíme se zničit internet, chceme ho jen dočasně zasáhnout tam, kde to nejvíc bolí, píše se ve výzvě.

Proč právě kořenové DNS servery?

Kořenové DNS servery tvoří vrcholek celého DNS stromu a informují o tom, které autoritativní DNS servery další úrovně se starají o jednotlivé TLD (.cz, .com, .net atp.). Jedná se o sadu serverů, nebo spíše skupin serverů, označovaných písmeny A až M. Jsou rozmístěny rovnoměrně po celém světě a jsou ve správě různých organizací.

Přestože tyto servery toho vlastně nemají příliš na práci (kořenová zóna je poměrně malá, i když dnes jsou v ní navíc DNSSEC podpisy), je třeba, aby byla jejich funkčnost dobře zajištěna. V případě výpadku by totiž přestala fungovat hierarchie DNS a resolvery by se nedostaly k informacím o autoritativních serverech pro jednotlivé domény.

Seznam třinácti adres kořenových serverů (a..m.root-servers.net) a jejich IP adres je totiž součástí operačních systémů i DNS serverů. Pokud chce uživatel (respektive aplikace) zjistit IP adresu počítače podle jeho doménového jména, musí nejprve kontaktovat rekurzivní DNS server, který je nejčastěji u jeho poskytovatele. Tento server pak musí nejprve od kořenových serverů zjistit jméno autoritativního serveru pro doménu prvního řádu, pak se tohoto serveru zeptá na doménu druhého řádu a tak dále až ke koncové IP adrese. Pokud by tedy selhaly všechny kořenové servery, došlo by k rozpojení těchto vazeb a nikdy bychom nedošli do cíle.

Technická odbočka: Možná vás zajímá, jak se tyto „vestavěné“ seznamy serverů vyrovnávají například se změnami IP adres, ke kterým i u kořenových serverů občas dochází. Vestavěný seznam se použije jen k prvnímu startu aplikace, která se pak dotáže některého z kořenových serverů, jak vypadá aktuální stav. Ten si uloží a občas aktualizuje. Při prvním spuštění tedy stačí, aby byl alespoň jeden kořenový server ze seznamu v dosahu a vše funguje dál. Této metodě se říká resolver priming. Ručně si můžete IP adresy kořenových serverů vypsat pomocí následujícího příkazu:

$ dig +tcp . NS @a.root-servers.net

Jak se bude útočit?

Podle výzvy bude k březnovému útoku využit takzvaný DNS amplification attack. Jedná se o poměrně jednoduchý, ale velmi rafinovaný útok, při kterém útočící počítače přímo nekomunikují s cílem, ale využívají k tomu prostředníky. Těmi jsou otevřené rekurzivní nameservery, které obvykle leží u různých poskytovatelů připojení.

Takový server slouží k získávání odpovědí pro uživatelé konkrétní sítě, ale vlivem špatného nastavení je otevřen i pro komunikaci do internetu. To na první pohled nevypadá jako problém, protože se jedná o službu, která jen vydává veřejně známé informace. Potíž je ovšem v tom, že takto otevřený server dovoluje podstrčení falešných informací uživatelům a především dovoluje už zmíněný amplification útok.

Útok totiž spočívá v tom, že kontaktujeme otevřený nameserver a položíme mu dotaz. V dotazu ovšem podvrhneme IP adresu odesílatele a nastavíme do ní adresu našeho cíle, který si přejeme zahltit. Nameserver nic netuší, takže prostě vygeneruje odpověď a pošle ji na námi podvrženou IP adresu. Tím ovšem nevědomky pomáhá zahlcovat linku cíle. Zjednodušeně to ukazuje následující obrázek.

Útok navíc vychází z toho, že DNS odpověď je vždy větší než původní dotaz, takže dochází k několikanásobnému zesílení účinku (proto amplification) našeho útoku a ještě jsme ukryti za nic netušícím serverem, který za nás de facto útok provádí. Před podobnými otevřenými nameservery byli administrátoři mnohokrát varováni a například CZ.NIC uvádí, že v zóně .CZ je takto otevřených 53 % nameserverů. Překvapilo vás takto vysoké číslo? Mě ano.

To a také fakt, že poskytovatelé často nefiltrují odchozí UDP pakety, které nemají adresu odesílatele ze správného rozsahu, umožňuje, aby byl takový útok docela dobře možný.

Má šanci na úspěch?

V obecných zpravodajských médiích se hovoří o třinácti kořenových DNS serverech, které mají být napadeny. To je ovšem pravda jen částečně. Servery sice mají označení od A po M, ale většina těchto záznamů vrací anycastovou IP adresu. Ta nemíří na konkrétní stroj, ale na libovolný počítač v internetu, který tuto IP adresu má. Pomocí routovacích tabulek (a protokolu BGP) se najde nejbližší počítač s touto adresou a na ten se dotaz směruje.

Podle tabulky na webu root-servers.org jde celkem o 259 serverů, rozmístěných po celém světě. Nejvíce takových zrcadel mají servery F (49), L (55) a J (70). Ve všech třech případech jsou servery i u nás v Česku. Rozložení ukazuje následující mapa, která pochází ze stejného webu:

Ve skutečnosti však může jít o výrazně více fyzických počítačů než 259. Některé uzly totiž za sebou mohou mít celý cluster, který se může skládat z desítek dalších serverů s různým hardware, operačním systémem i softwarovým vybavením. Ve finále tak kořenovou zónu může obsluhovat několik tisíc serverů po celém světě.

Jak píše Ondřej Filip, ředitel organizace CZ.NIC, nejzranitelnější jsou servery v rukou státních institucí. Jak už to bývá, technologicky pozadu jsou, alespoň v tomto směru, servery spravované státními institucemi. Anycasting nevyužívají servery spravované ISI, NASA a University of Maryland. Pouze dvě kopie má i server spravovaný americkou armádou. Je možné, že skutečně masivní útok by mohl vyřadit z provozu právě tyto servery s malým počtem zrcadel, píše na blogu CZ.NIC.

Vyřazení některých serverů by ale vůbec činnost DNS neohrozilo. Jejich roli by automaticky zaujaly ostatní funkční servery. K narušení činnosti by muselo dojít k vyřazení všech kořenových serverů, jejichž reálné počty jsme rozebírali výše. V minulosti již několik masivních útoků na root servery proběhlo a zatím se nikomu nepodařilo shodit všech třináct, píše opět Ondřej Filip.

Navíc celý systém DNS používá na všech úrovních cache. Dotazy se tedy neposílají stále znovu a znovu, ale udržují se po cestě na všech serverech. Při opakovaném dotazu tedy nehraje roli, zda právě kořenový server běží nebo ne. Uživatel stejně od některého z nižších serverů pravděpodobně odpověď dostane.

Pokud by tedy měl být takový útok úspěšný, musel by být velmi intenzivní a především by musel všechny kořenové servery vyřadit na velmi dlouhou dobu. Pravděpodobně by trvalo několik hodin, než bychom si začali všímat nějakých výpadků. Po celou tu dobu by musely být všechny servery naprosto nedostupné. Administrátoři serverů jsou ale o celém útoku dostatečně předem informováni a mohou se tak připravit na různé scénáře.

V březnu internet neskončí

Otázkou zůstává, zda vůbec takový zbytečný útok proběhne. Ondřej Filip se domnívá, že jde spíše o poplašnou zprávu, která se nakonec nepromění v reálnou hrozbu. Ani Anonymous se jistě nebudou pouštět do akcí, u kterých je v podstatě mizivá šance na úspěch. Navíc tento útok by byl poněkud v rozporu s jejich dosavadní snahou o ‚svobodný internet‘.

Podle mnohých reakcí jde pravděpodobně o poplašnou zprávu, která má Anonymous zase dostat do víru mediálního dění. Je to podobné, jako s dříve avizovaným útokem na Facebook, který nakonec vůbec neproběhl. Nemáme se tak čeho bát. Jak říká Cimrman: Z pušky na cepelín nevystřelíš. A vystřelíš-li, nedostřelíš. A dostřelíš-li, netrefíš se.