O que é um ataque de amplificação de DNS?
Um ataque de amplificação de DNS é uma forma de ataque de Negação distribuída de serviço (DDoS) que abusa de servidores DNS acessíveis publicamente. O invasor aproveita o fato de as respostas do DNS serem maiores do que as solicitações correspondentes para ampliar os efeitos do ataque e enviar mais dados ao alvo pretendido.
Como funciona um ataque de amplificação de DNS?
Os ataques de amplificação de DNS funcionam usando spoofing de IP para enviar mais dados ao alvo do que o atacante envia. O agente mal-intencionado fará uma solicitação a um serviço legítimo, como um servidor DNS, com o endereço IP falsificado para o da vítima.
O serviço enviará a resposta para esse endereço. Como os ataques de amplificação usam protocolos cujas respostas são maiores do que a solicitação correspondente, isso permite que o invasor consuma mais largura de banda do alvo do que usa em seus ataques volumétricos.
Os ataques de amplificação de DNS aproveitam os resolvedores de DNS abertos para aumentar a eficácia de um ataque DDoS. O DNS é uma escolha popular para ataques de amplificação por alguns motivos, entre eles:
| Fator | Descrição | Vantagem para o atacante |
| Uso do UDP | O DNS geralmente usa UDP, que não tem verificação de handshake. | Falsificação de IP mais fácil para os invasores. |
| Protocolo confiável | O DNS é um protocolo fundamental da Internet, geralmente permitido pelo firewall. | Ignorar a filtragem do firewall com base no tipo de protocolo. |
| Respostas maiores | As respostas do DNS contêm todos os dados solicitados que excedem o tamanho da solicitação. | Amplia o volume de dados enviados ao destino. |
| Respostas configuráveis | Os invasores podem criar registros DNS em massa para uma amplificação ainda maior. | Maximiza o impacto do ataque. |
| Solicitações legítimas | Os ataques podem utilizar domínios legítimos, tornando ineficaz a filtragem baseada em nomes de domínio. | Difícil de distinguir do tráfego genuíno. |
O impacto do ataque de amplificação de DNS
Os ataques de amplificação de DNS são um exemplo de ataque DDoS volumétrico. O objetivo desses ataques é inundar o alvo com tráfego de spam suficiente para consumir toda a largura de banda da rede ou algum outro recurso escasso (poder computacional etc.).
Ao usar o DNS para amplificação, um invasor pode dominar um alvo usando uma fração dos recursos consumidos pelo ataque. Geralmente, os ataques DDoS são projetados para colocar um serviço-alvo off-line. Se o invasor usar todos os recursos disponíveis, nenhum estará disponível para usuários legítimos, tornando o serviço inutilizável.
No entanto, ataques em menor escala também podem ter efeitos negativos sobre seus alvos...
Mesmo que um serviço não fique completamente off-line, o desempenho degradado pode ter um efeito negativo sobre os clientes. Além disso, todos os recursos consumidos pelo ataque custam dinheiro ao alvo e não trazem nenhum lucro para a empresa.
Estratégia de mitigação de ataques de amplificação de DNS
Aqui está a estratégia de atenuação contra esses ataques de DNS:
- Verificação do IP de origem: Os ataques de amplificação de DNS exigem que o invasor realize a falsificação de IP. A verificação do IP de origem pode identificar esse tráfego de rede falsificado, permitindo que a organização o bloqueie.
- Filtragem de pacotes com estado: Os pacotes de ataque de amplificação de DNS são respostas de DNS sem nenhuma solicitação correspondente. O rastreamento do estado das conexões de DNS permite que essas solicitações mal-intencionadas sejam identificadas e bloqueadas antes de chegarem ao sistema de destino.
- Respostas de DNS com limitação de taxa: Os ataques de amplificação de DNS dependem da capacidade do invasor de inundar o alvo com um grande volume de respostas de DNS. Limitar a quantidade de dados de DNS que podem chegar a um computador pode ajudar a protegê-lo contra esse ataque.
Essas medidas são projetadas para proteger o alvo desses tipos de ataques.
A ameaça geral também pode ser gerenciada pelo controle do acesso aos resolvedores de DNS para evitar que eles sejam usados nesses ataques.
Como a Check Point atenua os ataques de amplificação de DNS
Aproveitando o efeito de amplificação fornecido pelo DNS, um invasor pode lançar um ataque muito maior do que poderia diretamente. No entanto, o DNS não é a única opção de amplificação de DDoS disponível, nem mesmo a que tem o maior fator de amplificação.
A proteção contra a amplificação de DNS e outros ataques DDoS requer uma solução de atenuação de DDoS que possa filtrar o tráfego de ataque e o tráfego legítimo antes que ele chegue ao servidor de destino.
Check Point DDoS Protector offers real-time attack detection and prevention for DDoS attacks up to 800 Gbps, providing robust protection against the DDoS threat. For more information about Check Point DDoS Protector and its capabilities, check out this datasheet.
Iniciar
O guia definitivo para Ransom Denial of Service (RDoS)
