Share
Google+LinkedInPinterest

Cómo mitigar los ataques DDoS DNS

Un ataque de denegación de servicio (DDoS) es un intento malicioso para hacer que un servidor o un recurso de red disponibles para los usuarios sean, por lo general, interrumpidos temporalmente o para suspender los servicios de un host conectado a Internet.
dosxLos ataques DDoS se han incrementado en un 240% en el año 2014, de acuerdo con la Security Watchdog. Por su parte, un estudio del Instituto Ponemon estima que el costo promedio de un minuto y el tiempo de inactividad debido a un ataque DDoS es de 22 mil dólares, mientras que el tiempo de inactividad promedio es de aproximadamente 54 minutos. Por fortuna, se pueden mitigar los ataques DDoS tomando algunas medidas preventivas.
Hay tantas maneras en las que los hackers pueden atacar a los servidores DNS como formas en las que los administradores de sistemas pueden mitigar algunos de estos embates. Por desgracia, los usuarios no pueden hacer mucho para modificar los servidores DNS a fin de atenuar los ataques, aunque deben tener en cuenta algunas precauciones.
ipxEl principal problema está en el propio protocolo DNS, que permite a los hackers utilizar direcciones IP diferentes a la del usuario cuando hacen una consulta DNS, por lo que la respuesta se envía a otra persona; es decir, la víctima.
El estándar DNSSEC propone modificar el protocolo DNS para permitir la firma del DNS raíz, lo que bloquearía la modificación de los registros DNS para que apunte a otros sitios. El Internet Corporation for Assigned Names and Numbers (ICANN) asegura que algunos dominios de primer nivel, como .com, .se y .uk ya están protegidos con este mecanismo.

TIPOS DE ATAQUES

DDoS DNS

En un ataque DNS DDoS el hacker falsifica la dirección IP de la consulta DNS. Supongamos que éste quiere acabar con un servidor DNS en la dirección IP 1.2.3.4, para lo cual puede usar cualquiera de las herramientas de hacking de libre acceso o una red de bots que puede alquilar a otros hackers a fin de enviar una consulta a cualquier servidor DNS con la dirección IP de retorno 1.2.3.4.
El servidor de DNS, si tiene ese registro en su caché o si es la fuente autorizada, envía la respuesta UDP al servidor DNS ubicado en 1.2.3.4. El atacante intentó enviar varias solicitudes de búsqueda a la víctima mediante el envío de las solicitudes a varios servidores DNS, tantas que el servidor 1.2.3.4 es incapaz de responder al tráfico legítimo debido al volumen del mismo.
Cuando un equipo consulta un servidor DNS y este último no tiene el nombre de dominio en su caché, consulta otros servidores DNS en la cadena. Cuando así se hace, éstos no usan la misma dirección IP falsa 1.2.3.4 del servidor que hizo la consulta; en su lugar, utilizan su propia dirección IP. El servidor DNS recibe la respuesta y a continuación reenvía la consulta al servidor DNS objetivo 1.2.3.4, así que el ataque no puede ser empujado hacia la cadena de confianza.
Una manera de minimizar este ataque DNS es verificando que la dirección IP simulada sea válida. Los administradores son reacios a hacer eso porque frenarían un proceso que ahora es casi instantáneo. Para hacer esta verificación pueden utilizar Unicast Reverse Sendero Forwarding (Unicast FPR) o rechazar las consultas que ya se encuentran en una dirección IP.

Amplificación de DNS

En el caso de un ataque de la amplificación, los hackers actualizan la información de zona DNS en un servidor de dominio TLD comprometida para alargar la respuesta (digamos 4,000 bytes); es más grande que el tamaño máximo del paquete IP, por lo que la respuesta se envía a través de TCP en vez de UDP a fin de asegurarse que los paquetes se devuelven en el orden correcto. La conversación SYN-ACK-SYN de TCP, por supuesto, lleva más tiempo que UDP, atando sockets y puertos y complicando aún más la situación. En este tipo de ataques los 60 bytes de la consulta inicial devuelta al servidor DNS objetivo 1.2.3.4 ha sido amplificada por casi 70 veces.

Inundaciones UDP

La otra manera de atacar a un DNS es mediante una “inundación UDP”. Las consultas DNS utilizan el protocolo UDP y el servidor DNS responde con una respuesta de ICMP. Una manera de mitigar esto es limitando la tasa de respuestas ICMP al utilizar RRL DNS.

Envenenamiento de DNS

dnsxIntoxicación significa sobrescribir un registro DNS legítimo con uno falso. Hay varias formas de ejecutar un envenenamiento de DNS; una de ellas es poner en peligro un servidor DNS de nivel superior (TLD) y modificar el DNS TTL (time to live información). El servidor DNS no purgará ese registro DNS hasta que transcurra el tiempo TTL; por lo tanto, no podrá modificarse la dirección IP “tuempresa.com”, por ejemplo, para que apunte a una dirección que no es la correcta, por lo que la gente que busque “tuempresa.com” no la encontrará durante algún tiempo o será dirigida a un sitio diferente que aloja malware.
Una forma de mitigar este tipo de ataque es cambiando el puerto que el servidor DNS escucha en el valor predeterminado de 53. Al intentar atacar el servidor DNS, el hacker debe adivinar el número de puerto hasta que encuentre el correcto. El problema con este enfoque es que se suele traducir este regreso al puerto 53 por defecto, frustrando así la táctica para mitigar el ataque.
La otra cosa que puede hacerse es externalizar el tráfico DNS a una empresa como DYN.com, que también ofrece servicios de gestión de tráfico; asimismo, es posible usar Prolexic (http://www.prolexic.com) que cuenta con una amplia infraestructura para ayudar a mantenerse al día con el volumen de consultas DNS a fin de que las búsquedas sean legítimas, además de que puede filtrar una parte del tráfico ilegítimo.

Open resolvers

Un “solucionador abierto” es aquél que responde a una consulta que está fuera de su propio dominio. El problema es que la mayoría de los servidores DNS de todo el mundo no se vigila de manera adecuada. Para proteger servidores DNS más pequeños contra eso (es decir, dominio propio e infraestructura en la nube) habría que coordinarlos con otros servidores DNS a fin de bloquear solucionadores abiertos y sin garantía, lo cual no es tan difícil si se restringe la búsqueda a clientes o a los rangos propios de la IP de la empresa.

Nombre de dominio, extensiones de seguridad

Las extensiones de seguridad DNS son una extensión del protocolo DNS que agrega una clave y una firma para el paquete DNS; es compatible con versiones anteriores, por lo que puede utilizarse sin romper nada. Pero esto sólo funcionará si los administradores configuran DNSSEC totalmente hasta llegar a la cadena de confianza, por ejemplo “cuenta.tuempresa.com”, “tuempresa.com” o “.com”. Esto tomará algún tiempo para asimilarlo, a pesar de su adopción por parte de los administradores de servidores DNS.
En resumen, no hay una solución 100% eficaz para la denegación de ataques de servicio DNS; ayudaría en algo si los usuarios pudieran obtener el control de botnets, pero la mayoría de quienes cuentan con un equipo no sabe si éste ha sido hackeado, por lo que de alguna manera son cómplices involuntarios en este tipo de delito.
Muchas organizaciones que han luchado contra los ataques DDoS en sus sitios web u otras partes vitales de sus infraestructuras de red están moviendo algunos de sus recursos a la nube para aprovechar la seguridad y los beneficios operativos que ofrecen algunos proveedores de este tipo de servicios.

www.hdmexico.com.mx

www.hdlatinoamerica.com

Read More
207

Views