Выбрать язык


Выбрать язык | Show only


Русский | English


вторник, 14 июня 2016 г.

DNS как источник DDoS: динамика латания дыры по миру


Ни для кого не секрет, что открытые резолверы DNS с неконтролируемой рекурсией - неиссякаемый источник DDoS-атак типа amplification (усиление).
В связи с желанием сделать мир чище, в частности, в противодействии DDoS без особых затрат, решил недавно поинтересоваться статистикой наличия открытых DNS-резолверов по странам и динамикой их закрытия.

Нагуглил отчет shodan за 28.06.2015. Суммарно насчиталось 4 472 227 IP-адресов с незакрытой рекурсией. Вроде бы, всего 0.1% от теоретически возможного количества IPv4, но цифра все равно внушительная.

Лидер по количеству открытых для всех рекурсивных DNS в этом отчете, конечно же, Китай. Не зря ведь среди популярных словосочетаний у админов в России присутствует выражение "китайские хакеры". Если приплюсовать к нему Тайвань и Гонконг, то они втроем в этом топе соберут больше, чем семеро остальных вместе. США, разместив в своей юрисдикции 376 тысяч потенциальных участников DDoS, занимает 3 место. Россия на 6 месте, с чуть более, чем 194 тысячами доступных резолверов.




Также есть статистика по организациям.


Чтобы мелкий шрифт не смущал, увеличу названия. Как видно, большая часть компаний - из той же тройки лидеров. К ним присоединяется Корея (Korea Telecom), Турция (Turk Telecom) и США (CenturyLink).



Аналогичный Top 10 выбран по доменам.



Увеличиваем - и тоже можем заметить сходство. Лидирует тайваньский hinet.net, за ним идет Китай (.cn) но в топе появляется Турция (.tr), Бразилия (.br), США (verizon.net, ctinets.com) и Аргентина (.ar).
 




После этого мне стало интересно: а как изменилось количество за год? Отчеты я сгенерировал 6 июня и 9 июня 2016. Конечно, если бы этот пост претендовал на статус исследования или хотя бы аналитического отчета типа SANS/NSSLabs/Gartner и продавался за деньги в полном виде, я бы дождался 28 июня, чтобы уверенно сказать, что проанализировал изменения за календарный год. Но попробую обойтись тем, что есть сейчас.

Сразу бросается в глаза то, что количество открытых DNS упало. И это радует.
6 июня осталось 3 272 318 штук, а отчет 9 июня показывает  3 537 994. Вряд ли за 3 дня появилось 280 тысяч новых дырявых резолверов, похоже, у Шодана свои метрики обнаружения, мной еще недогугленные. Замеряем по последнему.

В первой четверке, кроме цифер, не изменилось ничего, затем Бразилия ушла с 5го на 7 место, подвинув вверх на 1 пункт Россию и Индию. Турция с Японией остались на прежних местах, Гонконг исчез из Top 10, на его место поднялась Италия.




В отчете по задействованным организациям Китай+Тайвань с Кореей продолжают лидировать.


На 4 место выбилась Индия (судя по гуглу, BSNL оттуда), США и Турция остались в списке.Наибольшее сожаление вызывает появление в топе за 2016 год российской компании. За державу обидно. Будут потом в новостях писать о "русских хакерах".


Лидерство среди доменов тоже принципиально не изменилось: Тайвань, Китай, Турция, Бразилия. Появились Нидерланды (.nl), Италия (.it) и Филиппины (судя по гуглу, pldt.net - их детище).





Естественно, все, что описано выше - констатация, а более интересны не интегральные, а дифференциальные цифры, по которым можно судить о динамике закрытия дырявых сервисов в странах. Вычитаем из цифры 2016 года цифру из 2015го, и делим на изначальную цифру.

Вот такой получился дифференциальный Top 10.

Country Delta, %
Hong Kong 57,05
Japan 37,86
Taiwan, Province of China 37,13
Brazil 34,86
United States 32,40
Turkey 21,79
Korea, Republic of 15,43
Russian Federation 11,37
China 9,42
India -18,21

России есть куда расти в динамике закрытия открытых резолверов. Если каждый админ сервера проверит свой доступный из мира DNS (чуть более подробно ссылки на мануалы по устранению расписаны тут, если что-то не совсем понятно - спрашивайте, постараюсь помочь) и закроет на нем хотя бы рекурсию для всех - вполне можем обскакать Гонконг в полученном топе.
Хочется верить, что это сбудется.



Комментариев нет:

Отправить комментарий