Los ataques DDoS abusan de los servicios DNS

Los ataques de denegación de servicio distribuida (DDoS) son una grave amenaza para la capacidad de una organización para atraer, retener e interactuar con los clientes. En pocas palabras, un ataque DDoS está diseñado para hacer que la presencia web de una organización sea inaccesible para los usuarios legítimos al abrumar la infraestructura subyacente con tráfico malicioso.

Los ataques DDoS tradicionales solo se están volviendo más baratos y fáciles de realizar. El auge de Internet de las cosas (IoT) y el crecimiento de la computación en la nube significa que los ciberdelincuentes tienen fácil acceso a una gran cantidad de poder computacional conectado a Internet. Se puede asignar a estas botnets el envío de solicitudes maliciosas a un sitio web en volúmenes superiores a los que pueden soportar los servidores web.

Sin embargo, el crecimiento de la potencia informática barata y de fácil acceso no es la única forma en que evoluciona el panorama de amenazas DDoS. Los cibercriminales también están aprovechando nuevas herramientas y técnicas para realizar sus ataques. Un ejemplo de tal técnica es el NXNSAttack. Este ataque aprovecha las propiedades de los servidores recursivos del Sistema de nombres de dominio (DNS) para realizar un ataque DDoS contra el servidor DNS de la víctima. Si este servidor DNS no está detrás de robusto Protección DDoS, podría verse abrumado, dejando el sitio web de la organización inaccesible para los usuarios legítimos.

La importancia de la infraestructura de DNS

Al usar Internet, la mayoría de las personas no escriben la dirección IP de la computadora a la que intentan acceder. En su lugar, escriben un nombre de dominio o URL, como google.com. Sin embargo, estas direcciones IP son lo que la computadora cliente y los enrutadores en la ruta entre las computadoras de origen y de destino requieren para garantizar que el tráfico llegue a su destino previsto.

DNS es el protocolo de Internet que permite la traducción de nombres de dominio a direcciones IP. La infraestructura de DNS está organizada como una jerarquía de servidores diseñados para manejar consultas para un determinado dominio. Esto significa que una consulta para resolver la URL de un sitio web en particular puede requerir solicitudes a múltiples servidores DNS (es decir, .com, google.com, etc.). Para que los usuarios puedan acceder a un sitio web, deben poder convertir su URL a la dirección IP del servidor que lo aloja. Esto requiere que cada servidor DNS requerido para resolver la dirección esté en línea y sea accesible por una computadora.

los Ataque DDoS de 2016 contra Dyn, un importante proveedor de DNS, demuestra el impacto potencial de un ataque DDoS contra la infraestructura de DNS. Durante el ataque, los servidores que alojan el servicio DNS administrado de Dyn fueron atacados por un par de ataques DDoS desde la botnet Mirai. Si bien el servicio finalmente pudo superar el ataque, un porcentaje significativo de Internet se volvió inalcanzable durante el ataque cuando el servicio no pudo resolver las solicitudes de DNS de los usuarios legítimos.

Sistema DNS utilizado en ataques DDoS

Los ataques DDoS contra la infraestructura DNS no son nada nuevo, como lo demostró el ataque DDoS 2016 contra Dyn. Sin embargo, la relación entre los ataques DDoS y los servicios DNS no siempre son los del atacante y el objetivo. Algunos ataques DDoS están diseñados para aprovechar los servicios de DNS para amplificar el impacto del ataque. UNA ataque descubierto recientemente aprovecha la estructura jerárquica de la infraestructura DNS. Los servidores DNS recursivos están diseñados para pasar solicitudes DNS a servidores autorizados que se sientan aguas arriba para resolver el nombre de dominio en una dirección IP. Estos servidores autorizados también tienen la capacidad de delegar esta autoridad a otros servidores DNS.

El nuevo ataque aprovecha esta funcionalidad para realizar ataques DDoS. En este ataque, el atacante enviará una solicitud DNS a un servidor DNS para el cual el servidor DNS autorizado está bajo el control del atacante. Al recibir la solicitud, el servidor DNS del atacante le indicará al servidor DNS recursivo que delegue esta autoridad a una larga lista de servidores DNS falsos en el dominio de la víctima. Para resolver la solicitud, el servidor DNS recursivo consultará al servidor DNS de la víctima para cada uno de estos supuestos servidores DNS. Como resultado, el servidor DNS de la víctima recibe una gran cantidad de tráfico del servidor DNS recursivo, lo que degrada su capacidad para resolver solicitudes DNS legítimas.

Si el servidor DNS de la víctima no puede manejar las solicitudes, los visitantes que intenten acceder a sitios dentro del dominio de la víctima no podrán traducir sus URL a las direcciones IP de los servidores web de la víctima. Como resultado, el sitio web de la víctima puede volverse completamente inalcanzable y, potencialmente, los empleados pueden perder el acceso a los servicios internos en la intranet corporativa si el acceso a estos servicios depende del servidor DNS corporativo.

Protección contra ataques DDoS

La presencia web de una organización es vital para su capacidad de hacer negocios. Los clientes prefieren cada vez más navegar y realizar compras en línea en lugar de visitar tiendas físicas. Además, muchas organizaciones están trasladando parte o la totalidad de su funcionalidad de servicio al cliente a su sitio web debido a la mayor escalabilidad que proporciona.

Los ciberdelincuentes tienen varios métodos diferentes por los cuales pueden desconectar un sitio web a través de ataques DDoS. Los atacantes pueden atacar el sitio web directamente enviando solicitudes a la aplicación web o dirigirse a la infraestructura DNS en la que se basa el sitio web para enrutar el tráfico de los visitantes a sus servidores web. A medida que los ataques DDoS se vuelven más fáciles y baratos de realizar, es probable que se vuelvan aún más comunes. Asegurar la disponibilidad de la presencia web de la empresa requiere la implementación de soluciones de mitigación DDoS robustas capaces de identificar y bloquear una variedad de diferentes ataques DDoS.