Sicurezza DNS

Il DNS non è stato progettato pensando alla sicurezza e ci sono molti tipi di attacchi creati per sfruttare le vulnerabilità nel sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Sicurezza DNS

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Comprendere cos'è il DNSSEC e come funziona
  • Familiarizzare con gli attacchi DNS più comuni
  • Distinguere tra il DNSSEC e altre soluzioni di sicurezza DNS

Perché la sicurezza DNS è importante?

Le query standard DNSnecessarie per quasi tutto il traffico web, creano opportunità per gli exploit DNS come l'hijack del DNS e gli attacchi man-in-the-middle. Questi attacchi possono reinderizzare il traffico in entrata di un sito Web verso una copia falsa del sito, raccogliendo informazioni riservate degli utenti ed esponendo le aziende a gravi responsabilità. Uno dei modi più conosciuti per proteggersi contro le minacce DNS è applicare il protocollo DNSSEC.

Cos'è il DNSSEC?

Come molti protocolli internet, il sistema DNS non era stato progettato pensando alla sicurezza e contiene diverse limitazioni di progettazione. Tali limitazioni, combinate con i progressi della tecnologia, hanno reso facile per gli aggressori sabotare una ricerca DNS per scopi dannosi, come inviare un utente su un sito Web fraudolento in grado di distribuire malware o raccogliere informazioni personali. DNSSEC (DNS Security Extensions) è un protocollo di sicurezza creato per mitigare questo problema. DNSSEC protegge contro gli attacchi firmando digitalmente i dati al fine di garantirne la validità. Per garantire una ricerca sicura, la firma deve avvenire ad ogni livello nel processo di ricerca DNS.

Come molti protocolli internet, il sistema DNS non era stato progettato pensando alla sicurezza e contiene diverse limitazioni di progettazione. Queste limitazioni, combinate con i progressi della tecnologia, hanno reso facile per gli aggressori eseguire un hijack di una ricerca DNS per scopi dannosi, come indirizzare un utente su un sito Web fraudolento in grado di distribuire malware o raccogliere informazioni personali.


DNS Security Extensions (DNSSEC) è un protocollo di sicurezza creato per mitigare questo problema. DNSSEC protegge dagli attacchi firmando digitalmente i dati per garantirne la validità. Al fine di garantire una ricerca sicura, la firma deve avvenire a tutti i livelli nel processo di ricerca DNS.


Questo processo di firma è simile a qualcuno che firma un documento legale con una penna; quella persona crea una firma unica che nessun altro può creare e un perito giudiziario può guardare la firma e verificare che il documento sia stato firmato da quella persona. Queste firme digitali garantiscono che i dati non siano stati manomessi.


DNSSEC implementa una politica di firma digitale gerarchica su tutti i livelli di DNS. Ad esempio, nel caso di una ricerca "google.com", un root server DNSfirma una chiave per il nameserver .COM e infine quest'ultimo firma una chiave per il nameserver autoritativo di google.


Sebbene sia sempre preferibile migliorare la sicurezza, DNSSEC è progettato per essere retrocompatibile in modo da garantire che le ricerche DNS tradizionali continuino a risolversi correttamente, anche senza la sicurezza aggiuntiva. DNSSEC è pensato per lavorare con altre misure di sicurezza come SSL/TLS nell'ambito di una strategia di sicurezza olistica di Internet.


DNSSEC crea un treno di fiducia genitore-figlio che viaggia fino al dominio root. Questa catena di fiducia non può essere compromessa a nessun livello di DNS, altrimenti la richiesta aprirà il fianco a un attacco man-in-the-middle.


Per chiudere la catena di fiducia, lo stesso dominio root deve essere convalidato (dimostrato privo di manomissioni o frodi), ed è ciò che viene effettivamente fatto utilizzando l'intervento umano. È interessante notare che, nella cosiddetta Procedura di firma dei domini root, le persone selezionate in tutto il mondo si incontrano per firmare il dominio root DNSKEY in maniera pubblica e controllata.

Ecco una spiegazione più dettagliata di come funziona il DNSSEC >>>

Quali sono alcuni attacchi comuni che coinvolgono il DNS?

DNSSEC è un potente protocollo di sicurezza, ma sfortunatamente non è al momento adottato universalmente. Questa mancanza unita ad altre potenziali vulnerabilità, oltre al fatto che il DNS è parte integrante della maggior parte delle richieste Internet, rende il DNS un obiettivo principale per gli attacchi dannosi. Gli aggressori hanno trovato diversi modi per indirizzare e sfruttare i server DNS, ecco alcuni dei più comuni:

Spoofing/cache poisoning DNS:questo è un attacco dove i dati DNS falsificati vengono introdotti in una cache dei resolver DSN, risultante in un resolver che ritorna un indirizzo IP errato per un dominio. Invece di accedere al sito Web corretto, il traffico viene dirottato verso una macchina dannosa o in qualsiasi altro posto l'aggressore desideri; spesso sarà una replica del sito originale utilizzato per scopi dannosi come la distribuzione di malware o la raccolta di informazioni di accesso.

Tunneling DNS: questo attacco utilizza altri protocolli per la tunnellizzazione attraverso query e risposte DNS. Gli aggressori possono utilizzare SSH, TCP o HTTP per trasmettere malware o informazioni rubate in query DNS, non rilevate dalla maggior parte dei firewall.

Hijack del DNS: durante l'hijack del DNS, l'aggressore reindirizza le query verso un diverso nameserver del dominio. Questo può essere fatto sia con malware che con la modifica non autorizzata di un server DNS. Sebbene il risultato sia simile a quello dello spoofing DNS, si tratta di un attacco fondamentalmente diverso perché ha come obiettivo il record DNS del sito Web sul nameserver, piuttosto che la cache di un resolver.

DNS Hijacking

Attacco NXDOMAIN: questo è un tipo di attacco DNS flood in cui un aggressore inonda un server DNS di richieste, chiedendo record inesistenti, nel tentativo di causare un denial-of-service per traffico legittimo. Ciò può essere realizzato utilizzando sofisticati strumenti di attacco in grado di generare automaticamente sottodomini unici per ogni richiesta. Gli attacchi NXDOMAIN possono anche colpire un resolver ricorsivo con l'obiettivo di riempire la cache del resolver con richieste spazzatura.

Attacco di dominio fantasma: un attacco di dominio fantasma ha un risultato simile a un attacco NXDOMAIN su un resolver DNS. L'aggressore crea un gruppo di server dominio "fantasma" che rispondono alle richieste molto lentamente o per nulla. Il resolver viene quindi colpito da un'ondata di richieste a questi domini e bloccato in attesa di risposte, portando a prestazioni lente e denial-of-service.

Attacco casuale al sottodominio: in questo caso, l'aggressore invia query DNS per diversi sottodomini casuali e inesistenti di un sito legittimo. L'obiettivo è creare un denial-of service per il nameserver autoritativo del dominio, rendendo impossibile la ricerca del sito Web dal nameserver. Come effetto collaterale, anche l'ISP che serve l'aggressore potrebbe essere coinvolto, poiché la cache del resolver ricorsivo verrà caricata con richieste sbagliate.

Attacco con blocco del dominio: attori malintenzionati orchestrano questa forma di attacco impostando domini e resolver speciali per creare connessioni TCP con altri resolver legittimi. Quando i resolver mirati inviano richieste, questi domini restituiscono flussi lenti di pacchetti casuali, occupando le risorse del resolver.

Attacco CPE basato su Botnet: questi attacchi vengono eseguiti utilizzando dispositivi CPE (Customer Premise Equipment, ossia hardware forniti dai provider di servizi ai clienti, come modem, router, decoder, ecc.). Gli aggressori compromettono i CPE e i dispositivi diventano parte di una botnet utilizzata per eseguire attacchi casuali di sottodomini contro un sito o dominio.

Qual è il modo migliore per proteggersi dagli attacchi basati su DNS?

Oltre a DNSSEC, un operatore di una zona DNS può adottare ulteriori misure per proteggere i propri server. L'infrastruttura di over-provisioning è una strategia semplice per superare attacchi DDoS. In poche parole, se il nameserver è in grado di gestire sempre più traffico del previsto, è più difficile che un attacco basato sul volume travolga il tuo server.


Il routing Anycast è un altro strumento utile che può interrompere gli attacchi DDoS. Anycast consente a più server di condividere un singolo indirizzo IP, quindi anche se un server DNS viene spento, ne rimarranno comunque altri attivi e funzionanti. Un'altra strategia popolare per mettere in sicurezza i server DNS è un firewall DNS.

Cos'è un firewall DNS?

Un firewall DNS è uno strumento in grado di fornire numerosi servizi di sicurezza e prestazioni per i server DNS. Un firewall DNS si trova tra il resolver ricorsivo di un utente e il nameserver autoritativo del sito Web o del servizio che sta tentando di raggiungere. Il firewall può fornire servizi di rate limiting per bloccare gli aggressori che tentano di congestionare il server. Se il server presenta tempi di inattività a seguito di un attacco o per qualsiasi altra ragione, il firewall DNS può mantenere attivo il sito o il servizio dell'operatore fornendo risposte DNS dalla cache. Oltre alle sue funzionalità di sicurezza, un firewall DNS può anche fornire soluzioni prestazionali come ricerche DNS più veloci e costi di larghezza di banda ridotti per l'operatore DNS. Ulteriori informazioni sul firewall DNS di Cloudflare.

Un firewall DNS è uno strumento in grado di fornire numerosi servizi di sicurezza e prestazioni per i server DNS. Un firewall DNS si trova tra il resolver ricorsivo di un utente e il nameserver autoritativo del sito Web o del servizio che sta tentando di raggiungere. Il firewall può fornire servizi di rate limiting per arrestare gli aggressori che tentano di congestionare il server.


Se il server presenta tempi di inattività a seguito di un attacco o per qualsiasi altra ragione, il firewall DNS può mantenere attivo il sito o il servizio dell'operatore fornendo risposte DNS dalla cache. Oltre alle sue funzionalità di sicurezza, un firewall DNS può anche fornire soluzioni prestazionali come ricerche DNS più veloci e costi di banda ridotti per l'operatore DNS. Ulteriori informazioni sul firewall DNS di Cloudflare.

DNS come strumento di sicurezza

I resolver DNS possono anche essere configurati per fornire soluzioni di sicurezza per i loro utenti finali (persone che navigano in Internet). Alcuni resolver DNS forniscono funzionalità come il filtro dei contenuti, che può bloccare i siti noti per distribuire malware e spam e la protezione delle botnet, che blocca le comunicazioni con botnet note. Molti di questi resolver DNS sicuri sono gratuiti e un utente può passare a uno di questi servizi DNS ricorsivi modificando una singola impostazione nel router locale. Cloudflare DNS pone l'accento sulla sicurezza.