Sicurezza DNS

Il DNS non è stato progettato pensando alla sicurezza e ci sono molti tipi di attacchi creati per sfruttare le vulnerabilità nel sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Sicurezza DNS

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Comprendere cos'è il DNSSEC e come funziona
  • Familiarizzare con gli attacchi DNS più comuni
  • Distinguere tra il DNSSEC e altre soluzioni di sicurezza DNS

Perché la sicurezza DNS è importante?

Le query standard DNS necessarie per quasi tutto il traffico web, creano opportunità per gli exploit DNS come l'hijack del DNS e gli attacchi on-path. Questi attacchi possono reindirizzare il traffico in ingresso di un sito web a una copia falsa del sito, raccogliendo informazioni riservate degli utenti ed esponendo le aziende a gravi responsabilità. Uno dei modi più noti per proteggere dalle minacce DNS è l'adozione del protocollo DNSSEC.

Cos'è il DNSSEC?

Come molti protocolli Internet, il sistema DNS non è stato progettato con in mente la sicurezza e contiene diversi limiti di progettazione. Queste limitazioni, combinate con i progressi della tecnologia, hanno reso facile per gli aggressori eseguire un hijack di una ricerca DNS per scopi dannosi, come inviare un utente a un sito fraudolento in grado di distribuire malware o raccogliere informazioni personali. Il DNS Security Extensions (DNSSEC) è un protocollo di sicurezza creato per mitigare questo problema. Il DNSSEC protegge dagli attacchi firmando digitalmente i dati per garantirne la validità. Per garantire una ricerca sicura, nel processo di ricerca DNS la firma deve avvenire a tutti i livelli.

Come molti protocolli Internet, il sistema DNS non è stato progettato con in mente la sicurezza e contiene diversi limiti di progettazione. Queste limitazioni, combinate con i progressi della tecnologia, hanno reso facile per gli aggressori eseguire un hijack di una ricerca DNS per scopi dannosi, come inviare un utente a un sito fraudolento in grado di distribuire malware o raccogliere informazioni personali.


DNS Security Extensions (DNSSEC) è un protocollo di sicurezza creato per mitigare questo problema. DNSSEC protegge dagli attacchi firmando digitalmente i dati per garantirne la validità. Al fine di garantire una ricerca sicura, la firma deve avvenire a tutti i livelli nel processo di ricerca DNS.


Questo processo di firma è simile a qualcuno che firma un documento legale con una penna; quella persona crea una firma unica che nessun altro può creare e un perito giudiziario può guardare la firma e verificare che il documento sia stato firmato da quella persona. Queste firme digitali garantiscono che i dati non siano stati manomessi.


DNSSEC implementa una politica di firma digitale gerarchica su tutti i livelli di DNS. Ad esempio, nel caso di una ricerca "google.com", un root server DNS firmerebbe una chiave per il nameserver .COM e il nameserver .COM firmerebbe quindi una chiave per il nameserver autoritativo di google.com.


Sebbene sia sempre preferibile migliorare la sicurezza, il DNSSEC è progettato per essere retrocompatibile in modo da garantire che le ricerche DNS tradizionali continuino a risolversi correttamente, anche se senza la sicurezza aggiuntiva. DNSSEC è pensato per lavorare con altre misure di sicurezza come SSL/TLS nell'ambito di una strategia di sicurezza olistica di Internet.


DNSSEC crea un treno di fiducia genitore-figlio che viaggia fino al dominio root. Questa catena di fiducia non può essere compromessa a nessun livello di DNS, altrimenti la richiesta aprirà il fianco a un attacco on-path.


Per chiudere la catena di fiducia, lo stesso dominio root deve essere convalidato (dimostrato privo di manomissioni o frodi), ed è ciò che viene effettivamente fatto utilizzando l'intervento umano. È interessante notare che, nella cosiddetta Procedura di firma dei domini root, le persone selezionate in tutto il mondo si incontrano per firmare il dominio root DNSKEY in maniera pubblica e controllata.

Ecco una spiegazione più dettagliata di come funziona il DNSSEC >>>

Quali sono alcuni attacchi comuni che coinvolgono il DNS?

DNSSEC è un poderoso protocollo di sicurezza, ma sfortunatamente non è al momento adottato universalmente. Questa mancanza unita ad altre potenziali vulnerabilità, oltre al fatto che il DNS è parte integrante della maggior parte delle richieste Internet, rende il DNS un obiettivo principale per gli attacchi dannosi. Gli aggressori hanno trovato diversi modi per indirizzare e sfruttare i server DNS, ecco alcuni dei più comuni:

Spoofing/cache poisoning DNS:questo è un attacco dove i dati DNS falsificati vengono introdotti in una cache dei resolver DSN, risultante in un resolver che ritorna un indirizzo IP errato per un dominio. Invece di accedere al sito web corretto, il traffico viene dirottato verso una macchina dannosa o in qualsiasi altro posto l'aggressore desideri; spesso sarà una replica del sito originale utilizzato per scopi dannosi come la distribuzione di malware o la raccolta di informazioni di accesso.

Tunneling DNS: questo attacco utilizza altri protocolli per la tunnellizzazione attraverso query e risposte DNS. Gli aggressori possono utilizzare SSH, TCP, or HTTP per trasmettere malware o informazioni rubate in query DNS, non rilevate dalla maggior parte dei firewall.

DNS hijacking: nell’hijack del DNS l'attaccante reindirizza le query a un altro nameserver di dominio. Quest’operazione è eseguita tramite malware o la modifica non autorizzata di un server DNS. Sebbene il risultato sia simile a quello dello spoofing, si tratta di un attacco fondamentalmente diverso perché ha come obiettivo il record DNS del sito web sul nameserver, piuttosto che la cache di un resolver.

Hijack del DNS

Attacco NXDOMAIN: questo è un tipo di attacco DNS flood in cui un aggressore inonda un server DNS di richieste, chiedendo record inesistenti, nel tentativo di causare un denial-of-service per traffico legittimo. Ciò può essere realizzato utilizzando sofisticati strumenti di attacco in grado di generare automaticamente sottodomini unici per ogni richiesta. Gli attacchi NXDOMAIN possono anche colpire un resolver ricorsivo con l'obiettivo di riempire la cache del resolver con richieste spazzatura.

Attacco di dominio fantasma: un attacco di dominio fantasma ha un risultato simile a un attacco NXDOMAIN su un resolver DNS. L'aggressore crea un gruppo di server di dominio "fantasma" che rispondono alle richieste molto lentamente o per niente. Un’ondata di richieste colpisce il resolver che viene bloccato in attesa di risposte, portando a prestazioni lente e denial-of-service.

Attacco casuale al sottodominio: in questo caso, l'aggressore invia query DNS per diversi sottodomini casuali e inesistenti di un sito legittimo. L'obiettivo è creare un denial-of-service per il nameserver autoritativo del dominio, rendendo impossibile la ricerca del sito web dal nameserver. Come effetto collaterale, anche l'ISP che serve l'aggressore può essere influenzato, poiché la cache del resolver ricorsivo verrà caricata di richieste errate.

Attacco con blocco del dominio: attori malintenzionati orchestrano questa forma di attacco impostando domini e resolver speciali per creare connessioni TCP con altri resolver legittimi. Quando i resolver puntati inviano delle richieste, questi domini restituiscono flussi lenti di pacchetti casuali, vincolando le risorse del resolver.

Attacco CPE basato su Botnet: questi attacchi vengono eseguiti utilizzando dispositivi CPE (Customer Premise Equipment, ossia hardware forniti dai provider di servizi ai clienti, come modem, router, decoder, ecc.). Gli aggressori compromettono i CPE e i dispositivi diventano parte di una botnet utilizzata per eseguire attacchi casuali di sottodomini contro un sito o dominio.

Qual è il modo migliore per proteggersi dagli attacchi basati su DNS?

Oltre a DNSSEC, un operatore di una zona DNS può adottare ulteriori misure per proteggere i propri server. L'infrastruttura di over-provisioning è una strategia semplice per superare attacchi DDoS. In poche parole, se il tuo nameserver è in grado di gestire diversi multipli di traffico in più del previsto, è più difficile che un attacco basato sul volume travolga il tuo server.


Il routing Anycast è un altro strumento utile che può interrompere gli attacchi DDoS. Anycast consente a più server di condividere un singolo indirizzo IP, quindi anche se un server DNS viene spento, ne rimarranno comunque altri attivi e funzionanti. Un'altra strategia popolare per proteggere i server DNS è un firewall DNS.

Cos'è un firewall DNS?

Un firewall DNS è uno strumento in grado di fornire numerosi servizi di sicurezza e prestazioni ai server DNS. Un firewall DNS si trova tra il resolver ricorsivo di un utente e il nameserver autoritativo del sito web o del servizio che sta tentando di raggiungere. Il firewall può fornire servizi di rate limiting per arrestare gli aggressori che cercano di sopraffare il server. Se il server presenta tempi di inattività a seguito di un attacco o per qualsiasi altro motivo, il firewall DNS può mantenere attivo il sito o il servizio dell'operatore fornendo risposte DNS dalla cache. Oltre alle sue funzioni di sicurezza, un firewall DNS può anche fornire soluzioni prestazionali come ricerche DNS più veloci e costi di banda ridotti per l'operatore DNS. Ulteriori informazioni sul firewall DNS di Cloudflare.

Un firewall DNS è uno strumento in grado di fornire numerosi servizi di sicurezza e prestazioni ai server DNS. Un firewall DNS si trova tra il resolver ricorsivo di un utente e il nameserver autoritativo del sito web o del servizio che sta tentando di raggiungere. Il firewall può fornire servizi di rate limiting per arrestare gli aggressori che cercano di sopraffare il server.


Se il server presenta tempi di inattività a seguito di un attacco o per qualsiasi altro motivo, il firewall DNS può mantenere attivo il sito o il servizio dell'operatore fornendo risposte DNS dalla cache. Oltre alle sue funzioni di sicurezza, un firewall DNS può anche fornire soluzioni prestazionali come ricerche DNS più veloci e costi di banda ridotti per l'operatore DNS. Ulteriori informazioni sul firewall DNS di Cloudflare.

DNS come strumento di sicurezza

I resolver DNS possono anche essere configurati per fornire soluzioni di sicurezza per i loro utenti finali (chi naviga in Internet). Alcuni resolver DNS forniscono funzioni come il filtro dei contenuti, che può bloccare i siti noti per distribuire malware e spam, e la protezione delle botnet che blocca le comunicazioni con le botnet note. Molti di questi resolver DNS sicuri sono gratuiti e un utente può passare a uno di questi servizi DNS ricorsivi modificando una singola impostazione nel router locale. Cloudflare DNS pone l'accento sulla sicurezza.