DNS Amplification – O que é, e como se proteger

Um ataque de amplificação de servidor de nomes de domínio (DNS) é uma forma popular de negação de serviço distribuída (DDoS), na qual os invasores usam servidores DNS abertos publicamente acessíveis para inundar um sistema alvo com tráfego de resposta DNS. A técnica principal consiste em um invasor enviar uma solicitação de pesquisa de nome DNS para um servidor DNS aberto com o endereço de origem falsificado para ser o endereço do alvo. Quando o servidor DNS envia a resposta do registro DNS, ela é enviada ao destino. Os invasores normalmente enviam uma solicitação de tanta informação de zona quanto possível para maximizar o efeito de amplificação. 

Na maioria dos ataques desse tipo, as consultas falsificadas enviadas pelo invasor são do tipo “ANY”, que retorna todas as informações conhecidas sobre uma zona DNS em uma única solicitação. Como o tamanho da resposta é consideravelmente maior que o da solicitação, o invasor consegue aumentar a quantidade de tráfego direcionado à vítima. Ao aproveitar uma botnet para produzir um grande número de consultas DNS falsificadas, um invasor pode criar uma quantidade imensa de tráfego com pouco esforço. Além disso, como as respostas são dados legítimos provenientes de servidores válidos, é extremamente difícil prevenir estes tipos de ataques. Embora os ataques sejam difíceis de impedir, os operadores de rede podem aplicar diversas estratégias de mitigação possíveis.

Embora a forma mais comum desse ataque observada pelo US-CERT envolva servidores DNS configurados para permitir resolução recursiva irrestrita para qualquer cliente na Internet, os ataques também podem envolver servidores de nomes autorizados que não fornecem resolução recursiva. O método de ataque é semelhante aos resolvedores recursivos abertos, mas é mais difícil de mitigar, pois mesmo um servidor configurado com as melhores práticas ainda pode ser usado em um ataque. No caso de servidores autoritativos, a mitigação deve se concentrar no uso do Response Rate Limiting para restringir a quantidade de tráfego.

Como detectar ataques de DNS Amplification: 

Às vezes é possível detectar um ataque de amplificação de reflexão antes que a quantidade de tráfego seja suficiente para impactar a disponibilidade do serviço. No entanto, este tempo de resposta rápido geralmente exige capacidade de resposta e monitoramento altamente agressivos, ou serviços oferecidos por um provedor de rede upstream.

Ferramentas comuns de monitoramento de rendimento de rede, incluindo SNMP, netflow e scripts personalizados, podem ajudar a chamar sua atenção para aumentos dramáticos na utilização de serviços ou de rede. O exame automatizado, qualitativo e em tempo real do tráfego de rede pode localizar um aumento inesperado em um tipo de protocolo que poderia ser utilizado para identificar um evento DoS de amplificação de reflexão quando ele começar. 

Como se defender contra ataques de amplificação de DNS

Embora os ataques de amplificação de DNS resultem em negação de serviço, eles não podem ser defendidos da mesma forma que os ataques DDoS tradicionais – por exemplo, bloqueando endereços IP de origem específicos – porque o tráfego de origem parece ser legítimo, vindo de DNS válido e publicamente acessível. Vale lembrar que bloquear todo o tráfego de resolvedores abertos poderia potencialmente bloquear algumas solicitações legítimas. As organizações podem, no entanto, podem tomar medidas drásticas para ajudar na defesa contra tais ataques.

Segurança de saída

Primeiro, as organizações devem garantir que todos os clientes (de servidores a dispositivos IoT) usem servidores DNS internos locais configurados para lidar apenas com solicitações de DNS dentro da organização. Em última análise, nenhum tráfego DNS deverá sair da rede da organização que não tenha sido originado desses servidores internos.

Muitos ataques, como DDoS, são possíveis porque os firewalls corporativos permitem que o tráfego destinado à Internet use endereços IP de origem falsificados. Normalmente, ao enviar tráfego para outro sistema, um dispositivo interno (em rede, como laptop, impressora, servidor, etc.) teria um endereço IP de origem interno, ou seja, um que correspondesse ao da rede interna. No entanto, no caso de dispositivos comprometidos, um invasor pode enviar tráfego usando um endereço IP público como origem falsificada. Firewalls de perímetro mal configurados podem permitir que esse tráfego passe para a Internet sem verificação. As organizações devem garantir que todo o tráfego originado na sua rede, com destino à Internet, tenha um endereço IP de origem que na verdade pertença à rede interna.

Segurança de entrada

Quaisquer respostas DNS que cheguem às redes de uma organização devem ser destinadas aos servidores DNS que lidam com solicitações de saída e nunca a quaisquer outros terminais. Dessa forma, a organização pode bloquear quaisquer respostas DNS que não sejam destinadas a esses servidores DNS. Usar um firewall com reconhecimento de DNS também pode ajudar, permitindo apenas o retorno do tráfego de volta para a rede a partir de solicitações que foram realmente enviadas aos servidores DNS locais da própria organização. Em outras palavras, deve haver uma solicitação DNS correspondente para cada resposta recebida, caso contrário o tráfego será bloqueado.

As organizações também podem usar o DNS Anycast, que distribui o volume de tráfego DNS entre servidores em vários locais, balanceando efetivamente a carga do tráfego DNS para que nenhum servidor fique sobrecarregado.

Além do acima exposto, se a quantidade de tráfego de entrada estiver saturando a conexão de rede, as organizações deverão trabalhar em estreita colaboração com seus ISPs para bloquear o tráfego upstream. Embora as soluções de ISP sejam frequentemente as mais baratas, normalmente são menos flexíveis. Por esse motivo, muitas organizações optam por usar um serviço de proteção DDoS de terceiros, o que aumenta as chances de um ataque ser interrompido antes de atingir a rede da organização.

Referências: 

• https://brightsec.com/blog/dns-amplification-attack/
• https://www.cisa.gov/news-events/alerts/2013/03/29/dns-amplification-attacks
• https://www.geeksforgeeks.org/what-is-a-dns-amplification-attack/