Attacco di amplificazione DNS

L'amplificazione DNS è un attacco DDoS che sfrutta i resolver DNS per travolgere la vittima con del traffico.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definizione di un attacco di amplificazione DNS
  • Spiegazione di come funziona un attacco di amplificazione DNS
  • Studio delle diverse strategie di mitigazione per gli attacchi di amplificazione DNS

Copia link dell'articolo

Che cos'è un attacco di amplificazione DNS?

Questo attacco DDoS è un attacco DDoS volumetrico basato sulla riflessione in cui un aggressore sfrutta una funzionalità dei resolver DNS aperti per sovraccaricare una rete o un server di destinazione con una quantità amplificata di traffico, rendendo il server e l'infrastruttura circostante inaccessibili.

Come funziona un attacco di amplificazione DNS?

Tutti gli attacchi di amplificazione sfruttano una disparità nel consumo della larghezza di banda tra un aggressore e la risorsa Web mirata. Quando questa disparità di consumo viene amplificata tra le varie richieste, il volume di traffico risultante può interrompere le attività dell'infrastruttura di rete. Inviando piccole query che si traducono in risposte di grandi dimensioni, l'aggressore riesce ad ottenere il massimo risultato con pochissimi sforzi. Attraverso la moltiplicazione di questa amplificazione, facendo in modo che ogni bot di una botnet effettui richieste simili, l'aggressore non solo non viene rilevato ma riesce a raccogliere i vantaggi di un traffico di attacco notevolmente aumentato.

Un singolo bot di un attacco di amplificazione DNS può essere paragonato a una situazione in cui un adolescente in vena di scherzi chiami un ristorante ordinando l'intero menu e chieda poi di ricevere una telefonata di conferma in cui venga ripetuta ogni voce dell'ordine. Quando il ristorante chiede il numero da richiamare, gli viene fornito quello della vittima designata. Così la vittima riceverà una chiamata dal ristorante con una marea di informazioni non richieste.

In conseguenza alla richiesta di ciascun bot ai resolver DNS aperti con un indirizzo IP contraffatto, che è stato modificato nel reale indirizzo IP di origine della vittima designata, il bersaglio riceve una risposta dai resolver DNS. Per creare una grande quantità di traffico, l'aggressore struttura la richiesta in modo da generare la risposta più grande possibile dai resolver DNS. Di conseguenza, il bersaglio riceve un'amplificazione del traffico iniziale dell'aggressore e la sua rete viene intasata dal traffico spurio, causando un denial-of-service, ovvero una negazione del servizio.

Diagramma di un attacco DDoS di amplificazione DNS

Un'amplificazione DNS può essere suddivisa in quattro fasi:

  1. L'aggressore utilizza un endpoint compromesso per inviare pacchetti UDP con indirizzi IP contraffatti a un recursore DNS. L'indirizzo contraffatto sui pacchetti punta all'indirizzo IP reale della vittima.
  2. Ciascuno dei pacchetti UDP effettua una richiesta a un resolver DNS, spesso passando un argomento come "ANY" per ricevere la risposta più grande possibile.
  3. Dopo aver ricevuto le richieste, il resolver DNS, che rispondendo sta cercando di essere utile, invia una risposta di grandi dimensioni all'indirizzo IP contraffatto.
  4. L'indirizzo IP della vittima riceve la risposta e l'infrastruttura di rete circostante viene sovraccaricata da una marea di traffico che provoca una negazione del servizio (denial-of-service, DoS).

Sebbene poche richieste non siano sufficienti ad abbattere l'infrastruttura di rete, quando questa sequenza viene moltiplicata tra più richieste e resolver DNS, l'amplificazione dei dati ricevuti dal bersaglio può essere sostanziale. Leggi altri dettagli tecnici sugli attacchi di riflessione.

Come viene mitigato un attacco di amplificazione DNS?

Per un individuo o un'azienda che gestisce un sito Web o un servizio, le opzioni di mitigazione sono limitate. Ciò deriva dal fatto che il server dell'individuo, sebbene possa essere il bersaglio, non è il luogo in cui si avverte l'effetto principale di un attacco volumetrico. A causa dell'elevata quantità di traffico generato, l'infrastruttura che circonda il server subisce l'impatto. Il provider di servizi Internet (ISP) o altri provider di infrastrutture upstream potrebbero non essere in grado di gestire il traffico in entrata senza essere sopraffatti. Di conseguenza, l'ISP può instradare in un percorso nullo tutto il traffico all'indirizzo IP della vittima designata, proteggendosi e portando offline il sito di destinazione. Le strategie di mitigazione, escludendo i servizi di protezione offsite come la protezione da attacchi DDoS di Cloudflare, sono per lo più soluzioni di infrastruttura Internet preventive.

Riduzione del numero totale di resolver DNS aperti

Un componente essenziale degli attacchi di amplificazione DNS è l'accesso ai resolver DNS aperti. Con resolver DNS non configurati correttamente esposti a Internet, tutto ciò che un aggressore deve fare per utilizzare un resolver DNS è trovarlo. Idealmente i resolver DNS dovrebbero fornire i propri servizi solo ai dispositivi provenienti da un dominio affidabile. Nel caso degli attacchi basati sulla riflessione, i resolver DNS aperti rispondono alle query da qualsiasi punto di Internet, consentendo potenzialmente uno sfruttamento. Limitare un resolver DNS affinché risponda solo alle query provenienti da fonti attendibili rende il server un veicolo inadeguato per qualsiasi tipo di attacco di amplificazione.

Verifica dell'IP di origine: evita che i pacchetti compromessi lascino la rete

Poiché le richieste UDP inviate dal botnet dell'aggressore devono avere un indirizzo IP di origine contraffatto che punta all'indirizzo IP della vittima, la componente chiave per ridurre l'efficacia degli attacchi di amplificazione basati su UDP è che i provider di servizi Internet (ISP) rifiutino qualsiasi traffico interno con indirizzi IP contraffatti. Se un pacchetto viene inviato dall'interno della rete con un indirizzo di origine che lo fa sembrare come originato all'esterno, è probabile che si tratti di un pacchetto contraffatto e pertanto può essere eliminato. Cloudflare consiglia vivamente a tutti i provider di implementare il filtro di ingresso e, all'evenienza, contatterà gli ISP che inconsapevolmente prendano parte ad attacchi DDoS, aiutandoli a rilevare le loro vulnerabilità.

In che modo Cloudflare riesce a mitigare gli attacchi di amplificazione DNS?

Con un firewall correttamente configurato e una capacità di rete sufficiente (cosa non sempre facile da conseguire se non si possiedono le dimensioni di Cloudflare), bloccare attacchi di riflessione, come gli attacchi di amplificazione DNS, diventa un gioco da ragazzi. Sebbene l'attacco punterà a un singolo indirizzo IP, la nostra rete Anycast disperderà tutto il traffico di attacco al punto in cui non sia più distruttivo. Cloudflare è in grado di utilizzare il nostro vantaggio di scalabilità per distribuire il peso dell'attacco su più datacenter, bilanciando il carico in modo che il servizio non venga mai interrotto e l'attacco non travolga mai l'infrastruttura del server designato. In sei mesi il nostro sistema di mitigazione DDoS "Gatebot" ha rilevato 6.329 attacchi di riflessione semplice (uno ogni 40 minuti) e la rete li ha mitigati tutti con successo. Scopri di più sulla protezione da attacchi DDoS avanzata di Cloudflare.