Cos'è un flood DNS? | Attacco DDoS di tipo flood DNS

Cos'è un flood DNS?

I server DNS (Domain Name System) sono le “rubriche” di Internet: sono il percorso attraverso il quale i dispositivi Internet possono cercare server Web specifici in modo da accedere ai contenuti Internet. Un flood DNS è un tipo di attacco DDoS in cui un aggressore "inonda" i server DNS di un determinato dominio nel tentativo di interrompere la risoluzione DNS per quel dominio. Se un utente non riesce a trovare la rubrica, non riesce a cercare l'indirizzo per effettuare la chiamata a una determinata risorsa. Ostacolando la risoluzione del DNS, un attacco flood DNS comprometterà la capacità di un sito Web, un'API o un'applicazione Web di rispondere al traffico legittimo. Gli attacchi flood DNS possono essere difficili da distinguere dal normale traffico intenso perché il grande volume di traffico proviene spesso da una moltitudine di posizioni uniche, che richiedono record reali sul dominio, imitando il traffico legittimo.

Come funziona un attacco flood DNS?

La funzione del DNS (Domain Name System) è quella di tradurre i nomi facili da ricordare (ad esempio, example.com) in indirizzi di server di siti Web difficili da ricordare (ad esempio, 192.168.0.1), in modo che attaccando con successo l'infrastruttura DNS Internet diventi inutilizzabile per la maggior parte delle persone. Gli attacchi flood DNS costituiscono un tipo relativamente nuovo di attacco basato su DNS che è proliferato con l'aumento di botnet Internet of Things (IoT) a larghezza di banda elevata come Mirai. Gli attacchi flood DNS utilizzano le connessioni a larghezza di banda elevata di telecamere IP, box DVR e altri dispositivi IoT per sovraccaricare direttamente i server DNS dei principali provider. Il volume delle richieste dai dispositivi IoT travolge i servizi del provider DNS e impedisce agli utenti legittimi di accedere ai server DNS del provider.

Gli attacchi flood DNS sono diversi dagli attacchi di amplificazione DNS. A differenza dei flood DNS, gli attacchi di amplificazione DNS riflettono e amplificano il traffico proveniente da server DNS non protetti al fine di nascondere l'origine dell'attacco ed aumentarne l'efficacia. Gli attacchi di amplificazione DNS utilizzano dispositivi con connessioni a larghezza di banda ridotta in modo da effettuare numerose richieste a server DNS non protetti. I dispositivi effettuano molte piccole richieste per record DNS di grosse dimensioni, ma durante queste richieste, l'aggressore falsifica l'indirizzo del mittente in modo che sia quello della vittima designata. L'amplificazione in questo modo consente all'aggressore di attaccare bersagli più grandi con risorse di attacco limitate.

In che modo può essere mitigato un attacco flood DNS?

I flood DNS rappresentano un cambiamento rispetto ai tradizionali metodi di attacco basati sull'amplificazione. Grazie ai botnet a larghezza di banda elevata facilmente accessibili, gli aggressori possono ora puntare a grandi organizzazioni. Fino a quando i dispositivi IoT compromessi non possono essere aggiornati o sostituiti, l'unico modo per resistere a questi tipi di attacchi è utilizzare un sistema DNS molto grande e altamente distribuito in grado di monitorare, assorbire e bloccare il traffico di attacco in tempo reale. Scopri di più su come la protezione da attacchi DDoS di Cloudflare protegge dagli attacchi flood DNS.