Ataque de amplificación DNS

La amplificación de DNS es un ataque DDoS que aprovecha los solucionadores de DNS para inundar un objetivo de tráfico.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque de amplificación de DNS
  • Explicar cómo funciona un ataque de amplificación de DNS
  • Conocer varias estrategias de mitigación de ataques de amplificación de DNS

Copiar el enlace del artículo

¿Qué es un ataque de amplificación de DNS?

Un ataque DDoS es un ataque volumétrico de denegación de servicio distribuido (DDoS) por reflexión en el que un atacante aprovecha la funcionalidad de los solucionadores de DNS abiertos para sobrecargar una red o servidor específico con una cantidad amplificada de tráfico, lo que impide el acceso al servidor y a su infraestructura asociada.

¿Cómo funciona un ataque de amplificación de DNS?

Todos los ataques de amplificación aprovechan una disparidad en el consumo de ancho de banda entre un atacante en ruta y el recurso web objetivo. Cuando la disparidad en el coste se multiplica a través de muchas solicitudes, el volumen de tráfico resultante puede interrumpir la infraestructura de red. El envío de consultas breves que derivan en extensas respuestas permite al atacante superar su objetivo con menos esfuerzo. Si se multiplica este aumento haciendo que cada bot en una botnet (red de bots) realice solicitudes similares, el atacante en ruta evita ser descubierto y se beneficia plenamente de un aumento significativo del ataque de tráfico.

Para entender el papel de un bot en un ataque de amplificación de DNS, pensemos en un adolescente con malas intenciones que llama a un restaurante, pide todo lo que incluye el menú y solicita al establecimiento que le vuelvan a llamar para que le repitan todo el pedido". Cuando el restaurante le pide el número de teléfono, el adolescente facilita el número de la víctima, quien recibe entonces una llamada del restaurante con mucha información que no solicitó.

El resultado de que cada bot realice solicitudes a solucionadores de DNS abiertos con una dirección IP falsificada, que se ha cambiado a la dirección IP real de la víctima, es que el objetivo recibe una respuesta de los solucionadores de DNS. Para multiplicar el tráfico, el atacante en ruta estructura la solicitud de tal manera que genera una respuesta lo más extensa posible desde los solucionadores de DNS. En consecuencia, el objetivo recibe una amplificación del tráfico inicial del atacante en ruta y su red se bloquea con tráfico ilegítimo, causando una denegación de servicio.

Diagrama de ataque DDoS por amplificación de DNS

Una amplificación de DNS se puede dividir en cuatro pasos:

  1. El atacante utiliza un punto de conexión en riesgo para enviar paquetes UDP con direcciones IP falsificadas a un recursor de DNS. La dirección falsificada en los paquetes señala a la dirección IP real de la víctima.
  2. Cada uno de los paquetes UDP realiza una solicitud a un solucionador de DNS, que a menudo aprueba un argumento como "CUALQUIERA" para recibir la respuesta más extensa posible.
  3. Después de recibir las solicitudes, el solucionador de DNS, que intenta ser útil respondiendo, envía una respuesta extensa a la dirección IP falsificada.
  4. La dirección IP del servidor recibe la respuesta y la infraestructura de red asociada se ve inundada por una avalancha de tráfico, con la consiguiente denegación de servicio.

Aunque unas cuantas solicitudes no son suficientes para interrumpir la infraestructura de red, cuando esta secuencia se multiplica a través de varias solicitudes y solucionadores de DNS, la amplificación de los datos que recibe el objetivo puede ser sustancial. Más información sobre los detalles técnicos de los ataques de reflexión.

¿Cómo se mitiga un ataque de amplificación de DNS?

Para un particular o una empresa que tiene un sitio o servicio web, las opciones de mitigación son limitadas. La razón es que el servidor de un particular, aunque podría ser el blanco de una ataque, no es donde repercute principalmente el ataque volumétrico. Debido a la gran cantidad de tráfico generado, la infraestructura que rodea al servidor será la más afectada. Es posible que el proveedor de acceso a internet (ISP) u otros proveedores de infraestructura no puedan manejar el tráfico entrante sin evitar una sobrecarga. Como resultado, el ISP puede dirigir a través de un agujero negro todo el tráfico a la dirección IP de la víctima, protegiéndose a sí mismo e interrumpiendo el sitio del objetivo. Las estrategias de mitigación, aparte de los servicios de protección remotos como la protección DDoS de Cloudflare, son en su mayoría soluciones preventivas de la infraestructura de Internet.

Reduce el número total de solucionadores DNS abiertos

Un componente esencial de los ataques de amplificación de DNS es el acceso a solucionadores de DNS abiertos. Todo lo que un atacante en ruta necesita hacer para utilizar un solucionador de DNS mal configurado y, por tanto, expuesto a Internet es descubrirlo. Lo ideal es que los solucionadores de DNS solo proporcionen sus servicios a los dispositivos que se originan dentro de un dominio de confianza. En el caso de los ataques de reflexión, los solucionadores de DNS abiertos responderán a las consultas desde cualquier lugar de Internet, permitiendo el abuso potencial. El hecho de restringir un solucinador de DNS para que solo responda a las consultas de orígenes de confianza convierte al servidor en un instrumento deficiente para cualquier tipo de ataque de amplificación.

Verifica la IP de origen. Evita que los paquetes falsificados salgan de la red

Debido a que las solicitudes UDP que envía la botnet del atacante en ruta deben tener una dirección IP de origen falsificada a la dirección IP de la víctima, un componente clave para contrarrestar la eficacia de los ataques de amplificación basados en UDP es que los proveedores de acceso de Internet rechacen cualquier tráfico interno con direcciones IP falsificadas. Si un paquete se envía desde dentro de la red con una dirección de origen que hace que parezca que se originó fuera de la red, es probable que sea un paquete falsificado que pueda eliminarse. Cloudflare recomienda que todos los proveedores implementen el filtrado de ingreso, y en ocasiones contactará con aquellos que estén formando parte de un ataque DDoS sin saberlo y les informará sobre su vulnerabilidad.

¿Cómo mitiga Cloudflare los ataques de amplificación de DNS?

Bloquear ataques de reflexión, como ataques de amplificación de DNS, con un firewall correctamente configurado y con suficiente capacidad de red (que no siempre es fácil de encontrar a menos que seas de la magnitud de Cloudflare) es muy sencillo. Aunque el ataque se dirija a una sola dirección IP, nuestra red Anycast distribuirá todo el ataque de tráfico hasta el punto donde deje de suponer un problema. Cloudflare puede usar su red escalable para distribuir el volumen del ataque en muchos centros de datos, equilibrando así la carga para que el servicio nunca se vea interrumpido y el ataque no sature la infraestructura del servidor objetivo. En un periodo de seis meses, nuestro sistema de mitigación de DDoS "Gatebot" detectó 6329 ataques de reflexión simples (es decir, uno cada 40 minutos) y nuestra red logró mitigarlos todos. Más información sobre la protección DDoS avanzada de Cloudflare.

Ventas