¿Qué son los ataques de DNS y cómo se pueden prevenir?
Los ataques al sistema de nombres de dominio (DNS) son una ocurrencia común y cada año, cientos de sitios web son víctimas de este tipo de ataques.
Para proteger una red contra esta categoría de exploits, es importante comprender los diferentes tipos de ataques DNS, así como los mejores métodos de mitigación.
¿Qué es el DNS?
El sistema de nombres de dominio (DNS) es un sistema de nombres estructurado que utilizan los dispositivos de Internet para localizar recursos en línea. Dicho esto, cada sitio web en Internet tiene una dirección de Protocolo de Internet (IP) única, pero sería más difícil para los humanos recordar cada sitio web por sus direcciones IP porque son alfanuméricas.
Cuando se trata de la infraestructura de DNS, hay dos componentes principales que conforman el sistema, y son servidores autorizados que alojan la información de IP y servidores recursivos que participan en la búsqueda de información de IP.
Los ataques de DNS se pueden aprovechar contra cualquiera de ellos.
Tipos de ataques de DNS
Los atacantes suelen utilizar una variedad de técnicas para interrumpir la funcionalidad del DNS. A continuación, se muestra un resumen de algunos de los métodos más comunes.
1. Inundaciones de DNS
Una inundación de DNS utiliza vectores de ataque de denegación de servicio distribuido (DDoS) para apuntar a los servidores del sistema de nombres de dominio y se utiliza para interrumpir el acceso a ciertos dominios.
Los atacantes utilizan las inundaciones de DNS para inundar los servidores recursivos de DNS con un muro de solicitudes ilegítimas, lo que les impide procesar adecuadamente las consultas legítimas.
Por lo general, extraen tráfico de una multitud de ubicaciones, dispositivos e IP, lo que dificulta la diferenciación entre tráfico normal y "generado".
Las redes de bots que controlan miles de IoT y computadoras pirateadas generalmente se aprovechan para el esquema, y sus direcciones IP de origen se falsifican mediante scripts.
Medidas de atenuación
Existen numerosas formas de prevenir los ataques de inundación de dominios, e incluyen la instalación de protocolos de verificación de IP. Los sistemas de bloqueo y detección de anomalías de aprendizaje automático son los mejores para esto.
Si el problema es particularmente grave y faltan tales medidas de interceptación, la desactivación de los servidores DNS recursivos mitigará el problema al evitar más retransmisiones.
Limitar las solicitudes solo a las de clientes autorizados es otra forma de resolver el problema. Tener una configuración de limitación de la tasa de respuesta (RRL) baja en los servidores autorizados también funciona.
2. Envenenamiento de la caché de DNS
El envenenamiento de la caché de DNS implica la manipulación del servidor DNS por parte de entidades malintencionadas para redirigir el tráfico fuera de los servidores legítimos. Es básicamente una táctica de servidor a servidor.
Un atacante podría, por ejemplo, cambiar la información en el servidor DNS de Instagram para que apunte a la IP de Twitter. En la mayoría de los casos, los redireccionamientos llevan a los visitantes a sitios controlados por piratas informáticos donde se ejecutan ataques de phishing, XSS y otros ataques de vulnerabilidad.
En algunos casos, los ataques se pueden escalar dirigiéndose a los proveedores de servicios de Internet, especialmente si varios de ellos dependen de servidores específicos para recuperar datos de DNS. Una vez que los servidores primarios están comprometidos, la infección se vuelve sistemática y puede afectar a los enrutadores de los clientes conectados a las redes.
Medidas de atenuación
Para evitar este tipo de ataques, los servidores DNS deben configurarse de modo que haya menos dependencia de los servidores externos a la red. Esto evita que los servidores DNS del atacante se comuniquen con los servidores de destino.
También ayuda instalar la última versión de BIND en el servidor. Esto se debe a que las versiones actualizadas tienen tecnologías de transacciones seguras criptográficamente y tienen capacidades de aleatorización de puertos que reducen los ataques.
Por último, los ataques se pueden prevenir restringiendo las respuestas de DNS para proporcionar solo información particular sobre el dominio consultado y simplemente ignorar las solicitudes 'CUALQUIER'. Responder a CUALQUIER solicitud obliga a la resolución de DNS a disponer de más información sobre el dominio solicitado. Esto incluye registros MX, registros A y más. La información adicional consume más recursos del sistema y amplifica el tamaño del ataque.
3. Ataques de denegación de servicio de reflexión distribuida (DRDoS)
Los ataques de denegación de servicio reflectante distribuida (DRDoS) intentan abrumar la infraestructura de DNS enviando un gran volumen de solicitudes de Protocolo de datagramas de usuario (UDP).
Los puntos finales comprometidos se utilizan generalmente para hacer esto. Los paquetes UDP funcionan sobre las direcciones IP para realizar solicitudes a un sistema de resolución de DNS. La estrategia se ve favorecida porque el protocolo de comunicación UDP no tiene requisitos de confirmación de entrega y las solicitudes también se pueden duplicar. Esto facilita la creación de congestión de DNS.
En este caso, los solucionadores de DNS específicos intentan responder a las solicitudes falsas, pero se ven obligados a emitir un gran volumen de respuestas de error y terminan abrumados.
Medidas de atenuación
Los ataques de denegación de servicio de reflexión distribuida (DRDoS) son una forma de ataque DDoS y, para evitarlos, se debe aplicar un filtrado de red de entrada para evitar la suplantación de identidad. Debido a que las consultas pasan por los solucionadores de DNS, configurarlas para que solo resuelvan solicitudes de ciertas direcciones IP ayudará a mitigar el problema.
Por lo general, esto implica deshabilitar la recursividad abierta, lo que reduce las lagunas de los ataques de DNS. La recursividad abierta hace que el servidor acepte solicitudes de DNS desde cualquier dirección IP, y esto abre la infraestructura a los atacantes.
La configuración de la limitación de la tasa de respuesta (RRL) también evitará la tasa de incidencias de DRDoS. Esto se puede lograr estableciendo un límite máximo de tasa. Este mecanismo evita que el servidor autorizado maneje cantidades excesivas de consultas.
4. Ataques NXDOMAIN
En un ataque al DNS de NXDOMAIN, el servidor de destino está inundado de solicitudes de registro no válidas. Los servidores proxy DNS (resolutores) suelen ser el objetivo en este caso. Su tarea es consultar los servidores autorizados de DNS en busca de información de dominio.
Las solicitudes no válidas involucran al proxy DNS y a los servidores autorizados y desencadenan respuestas de error de NXDOMAIN y causan problemas de latencia en la red. La avalancha de solicitudes eventualmente causa problemas de rendimiento con el sistema DNS.
Medidas de atenuación
Los ataques de NXDOMAIN DNS se pueden prevenir permitiendo que el servidor retenga más información de caché en solicitudes válidas a lo largo del tiempo. Esta configuración garantiza que, incluso durante un ataque, las solicitudes legítimas se puedan seguir procesando sin tener que someterse a un almacenamiento en caché adicional. Como tal, la información solicitada se puede extraer fácilmente.
Los dominios y servidores sospechosos utilizados en el esquema también se pueden bloquear, liberando así recursos.
5. Ataques de dominio fantasma
Al ejecutar un ataque de dominio fantasma, el atacante comienza configurando un colectivo de dominios para que no respondan o lo hagan muy lentamente una vez que reciben una consulta de DNS. Los servidores recursivos son el objetivo en este caso.
Están dirigidos a un gran volumen de solicitudes repetitivas que consultan los dominios fantasmas. Las pausas de respuesta prolongadas dan como resultado una acumulación de solicitudes sin resolver que congestionan la red y consumen valiosos recursos del servidor. En última instancia, el esquema evita que se procesen las solicitudes de DNS legítimas y evita que los usuarios accedan a los dominios de destino.
Medidas de atenuación
Para mitigar los ataques de dominio fantasma, será útil limitar el número de solicitudes recursivas sucesivas en cada servidor. Pueden limitarse aún más por zona.
Habilitar la retención en el servidor DNS para las solicitudes realizadas a servidores que no responden también evitará que el sistema se vea abrumado. La función limita el número de intentos consecutivos realizados a servidores que no responden una vez que alcanzan un cierto umbral.
El aumento del número de servidores recursivos también funciona.
Manténgase a salvo de los peligros del DNS
Cada año, los atacantes de DNS inventan una serie de trucos asombrosos para derribar la infraestructura crítica en línea, y el daño puede ser enorme.
Para las personas y las empresas que dependen en gran medida de los dominios en línea, seguir las pautas de mejores prácticas e instalar las últimas tecnologías para frustrar el DNS será de gran ayuda para prevenirlos.