O que é ataque de amplificação de DNS?

O que é ataque de amplificação de DNS?

Amplificação de DNS é um ataque de negação de serviço distribuído (DDoS) , no qual os invasores exploram vulnerabilidades em servidores DNS (Sistema de Nomes de Domínio) para transformar consultas inicialmente pequenas em cargas transmitidas muito maiores, usadas para "derrubar" o servidor da vítima.

A amplificação de DNS é um tipo de ataque de reflexão que manipula DNSs acessíveis publicamente, tornando-os alvos de um grande número de pacotes UDP. Usando uma variedade de técnicas, os criminosos podem “inflar” o tamanho desses pacotes UDP, tornando o ataque tão poderoso que destrói até mesmo a infraestrutura mais robusta da Internet.

Descrição do ataque

A amplificação de DNS, como outros ataques de amplificação, é um tipo de ataque de reflexão. Neste caso, o espelhamento é obtido através da obtenção de uma resposta do resolvedor DNS para um endereço IP falsificado.

Num ataque de amplificação de DNS, o perpetrador envia uma consulta DNS com um endereço IP falsificado (da vítima) para um resolvedor DNS aberto, fazendo com que ele responda a esse endereço com uma resposta DNS. Com muitas consultas falsas sendo enviadas e vários resolvedores de DNS respondendo simultaneamente, a rede da vítima pode facilmente ser “sobrecarregada” pelo número descontrolado de respostas de DNS.

Os contra-ataques são ainda mais perigosos quando amplificados. “Amplificação” aqui se refere à resposta do servidor ser desproporcional à solicitação de pacote original enviada.

Para amplificar um ataque DNS como esse, cada solicitação DNS pode ser enviada usando o protocolo de extensão DNS EDNS0, que permite mensagens DNS grandes, ou usar o recurso criptográfico do DNSSEC (extensão de segurança DNS) para aumentar o tamanho da mensagem. Consultas forjadas do tipo “ANY”, que retornam todas as informações conhecidas sobre a zona DNS em uma única solicitação, também podem ser usadas.

Através desses e de outros métodos, uma mensagem de solicitação de DNS com cerca de 60 bytes de tamanho pode ser configurada para enviar uma mensagem de resposta de mais de 4.000 bytes ao servidor de destino - resultando em um fator de amplificação de 70:primeiro. Isto aumenta significativamente o volume de tráfego recebido pelo servidor de destino e aumenta a taxa de esgotamento dos recursos do servidor.

Além disso, os ataques de amplificação de DNS geralmente encaminham solicitações de DNS por meio de um ou mais botnets – aumentando significativamente o tráfego direto para o(s) servidor(es) visado(s) e dificultando o monitoramento do caráter do invasor.

A amplificação de DNS é um ataque distribuído de negação de serviço (DDoS)

• O que é ataque à camada de aplicativo?

Métodos para mitigar o impacto dos ataques de amplificação de DNS

As formas comuns de prevenir ou minimizar o impacto dos ataques de amplificação de DNS incluem o reforço da segurança do servidor DNS, o bloqueio de servidores DNS específicos ou todos os servidores de retransmissão recursivos e a limitação de taxa.

No entanto, esses métodos não eliminam as fontes de ataque, nem reduzem a carga da rede e a alternância entre servidores de nomes e servidores recursivos abertos. Além disso, bloquear todo o tráfego de servidores recursivos abertos pode dificultar tentativas legítimas de comunicação DNS. Por exemplo, algumas organizações mantêm servidores de recursão abertos para que os funcionários que trabalham em dispositivos móveis possam resolver problemas a partir de servidores de nomes “confiáveis”. O bloqueio do tráfego desses servidores pode dificultar o seu acesso.

Como prevenir ataques de amplificação de DNS

Então, o que você pode fazer para evitar que sua organização seja vítima de um ataque de amplificação de DNS?

Mantenha o resolvedor privado e protegido

Se você operar seu próprio resolvedor, o uso dele deverá ser limitado aos usuários da sua rede para ajudar a evitar que seu cache seja contaminado por hackers de fora da organização. Não pode ser aberto para usuários externos.

Configure-o para ser o mais seguro possível para proteger contra infecção de cache por malware. As salvaguardas incorporadas ao software DNS que protegem contra infecções de cache incluem a adição de alterações às solicitações enviadas, para dificultar o recebimento de respostas falsas pelos hackers. As maneiras pelas quais isso pode ser feito incluem:

• Use uma porta de origem aleatória (em vez da porta UDP 53)
• Randomizar ID da consulta
• Coloque aleatoriamente letras maiúsculas e minúsculas no nome de domínio de envio para resolução. (Isso ocorre porque o servidor de nomes tratará example.com e ExaMPle.com da mesma forma ao resolver endereços IP, mas responderá usando a mesma ortografia da consulta original).

Gerencie o servidor DNS com segurança

Quando se trata de servidores autorizados, você precisa decidir se deseja hospedá-los você mesmo ou por meio de um provedor de serviços ou registrador de domínio. Um especialista diz: “Ninguém se preocupa mais com a sua segurança do que você, então você mesmo deve hospedá-la e gerenciá-la, se tiver as habilidades para fazê-lo”.

Se você não possui essas habilidades, é claro que é uma boa ideia contratar outra pessoa para fazer isso por você. Não é apenas uma questão de experiência, mas também de escala, porque muitas organizações precisam ter servidores DNS em três ou quatro locais ao redor do mundo.