Amazon 24.10.2019 informoval své zákazníky, že služba Route 53 byla pod masivním DDoS útokem. Následkem útoku došlo k narušení DNS překladu. Konkrétně útok zasáhl name system S3 buckety.
Útok je možné zařadit do kategorie Slow Drip útoků. Při těchto útocích jsou na autoritativní name servery cílových domén zasílány průběžně dotazy, které obsahují neexistující pseudo-náhodně vygenerované subdomény. Přímým následkem takového útoku je přetížení kapacit napadených name serverů, které díky tomu mohou přestat odpovídat na legitimní dotazy.
Domény, využívané při útoku, byly generovány v následující podobě:
Ve Whalebone jsme úspěšně a včas probíhající útok identifikovali a upozornili naše nejvíce dotčené zákazníky.
Předzvěst útoku bylo možné najít již 19.10.2019. Jak lze vidět na grafu níže, proběhla právě tento den první menší vlna pokusů o překlady. Útočníci si takto zřejmě testovali rozsah a možnosti útoku před jeho samotným vypuknutím.
Možná obrana proti takovým útokům je nasazení agresivního DNSSEC cachování. Specifikace DNSSEC umožňuje použít NSEC/NSEC3 záznamy pro kryptografické ověření, že konkrétní doména neexistuje (v tomto případě subdoména).
Využitím tohoto přístupu mohou resolvery provádějící DNSSEC validaci odpovědět přímo ze své keše a takto výrazně snížit počet dotazů na autoritativní servery.
Whalebone resolvery s pokročilou bezpečnostní funkcí využívají technologii Knot resolver, která tento přístup od verze 2.0.0 umožňuje a garantuje odolnost proti tomuto druhu útoků. Takto chráníme sítě svých zákazníků před možným penalizováním na autoritativních serverech.
Bohužel, jak je vidět níže, DNS zóny Amazonu nebyly kryptograficky podepsané a proto nebylo možné využít kryptografické ověření neexistence domény.
Whalebone sice servery Amazonu proti podobnému útoku neochrání, ale při podobném útoku zajišťuje, aby nebyla ovlivněna kvalita internetu poskytovaného zákazníkům.