Sicurezza DNS

Il DNS non è stato progettato pensando alla sicurezza e ci sono molti tipi di attacchi creati per sfruttare le vulnerabilità nel sistema DNS.

Share facebook icon linkedin icon twitter icon email icon

Sicurezza DNS

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Comprendere cos'è il DNSSEC e come funziona
  • Familiarizzare con gli attacchi DNS più comuni
  • Distinguere tra il DNSSEC e altre soluzioni di sicurezza DNS

Perché la sicurezza DNS è importante?

Le query DNS standard, necessarie per quasi tutto il traffico Web, creano opportunità per exploit DNS come il dirottamento DNS e gli attacchi man-in-the-middle. Questi attacchi possono reindirizzare il traffico in ingresso di un sito Web a una copia falsa del sito, raccogliendo informazioni riservate degli utenti ed esponendo le aziende a gravi responsabilità. Uno dei modi più noti per proteggere dalle minacce DNS è l'adozione del protocollo DNSSEC.

Che cos'è il DNSSEC?

Come molti protocolli Internet, il sistema DNS non è stato progettato pensando alla sicurezza e contiene diversi limiti di progettazione. Queste limitazioni, combinate con i progressi della tecnologia, hanno reso facile per gli aggressori eseguire un hijack di una ricerca DNS per scopi dannosi, come inviare un utente a un sito Web fraudolento in grado di distribuire malware o raccogliere informazioni personali. Il DNS Security Extensions (DNSSEC) è un protocollo di sicurezza creato per mitigare questo problema. Il DNSSEC protegge dagli attacchi firmando digitalmente i dati per garantirne la validità. Per garantire una ricerca sicura, nel processo di ricerca DNS la firma deve avvenire a tutti i livelli.

Come molti protocolli Internet, il sistema DNS non è stato progettato pensando alla sicurezza e contiene diversi limiti di progettazione. Queste limitazioni, combinate con i progressi della tecnologia, hanno reso facile per gli aggressori eseguire un hijack di una ricerca DNS per scopi dannosi, come inviare un utente a un sito Web fraudolento in grado di distribuire malware o raccogliere informazioni personali.


Il DNS Security Extensions (DNSSEC) è un protocollo di sicurezza creato per mitigare questo problema. Il DNSSEC protegge dagli attacchi firmando digitalmente i dati per garantirne la validità. Per garantire una ricerca sicura, nel processo di ricerca DNS la firma deve avvenire a tutti i livelli.


Questo processo di firma può essere paragonato a qualcuno che firma un documento legale con una penna; quella persona firma con una firma unica che nessun altro può ricreare e un esperto del tribunale può guardare quella firma e verificare che il documento sia stato firmato da quella persona. Queste firme digitali assicurano che i dati non siano sono stati manomessi.


Il DNSSEC implementa una politica di firma digitale gerarchica su tutti i livelli di DNS. Ad esempio, nel caso di una ricerca "google.com", un root server DNS firmerebbe una chiave per il nameserver .COM e il nameserver .COM firmerebbe quindi una chiave per il nameserver autoritativo di google.com.


Sebbene sia sempre preferibile migliorare la sicurezza, il DNSSEC è progettato per essere retrocompatibile in modo da garantire che le ricerche DNS tradizionali continuino a risolversi correttamente, anche se senza la sicurezza aggiuntiva. Il DNSSEC è progettato per funzionare con altre misure di sicurezza come il SSL/TLS come parte di una strategia olistica di sicurezza di Internet.


Il DNSSEC crea un treno di fiducia genitore-figlio che viaggia fino al dominio root. Questa catena di fiducia non può essere compromessa a nessun livello di DNS, altrimenti la richiesta aprirà il fianco a un attacco man-in-the-middle.


Per chiudere la catena della fiducia, è necessario convalidare lo stesso dominio root (dimostrato privo di manomissioni o frodi), e ciò viene effettivamente fatto mediante l'intervento umano. È interessante notare che, nella cosiddetta cerimonia della firma del dominio root, persone selezionate da tutto il mondo si incontrano per firmare il dominio root DNSKEY in modo pubblico e controllato.

Ecco una spiegazione più dettagliata di come funziona il DNSSEC >>>

Quali sono alcuni attacchi comuni che coinvolgono il DNS?

Il DNSSEC è un potente protocollo di sicurezza, ma sfortunatamente non è attualmente adottato universalmente. Questa mancanza di adozione unita ad altre potenziali vulnerabilità, oltre al fatto che il DNS è parte integrante della maggior parte delle richieste Internet, rende il DNS un obiettivo primario per attacchi dannosi. Gli aggressori hanno trovato diversi modi per indirizzare e sfruttare i server DNS, ecco alcuni dei più comuni:

DNS spoofing/cache poisoning: Si tratta di un attacco in cui vengono introdotti dei dati DNS falsi nella cache di un resolver DNS, portandolo a restituire un indirizzo IP errato per un dominio. Invece di accedere al sito Web corretto, il traffico può essere dirottato verso una macchina dannosa o in qualsiasi altro posto l'aggressore desideri; spesso sarà una replica del sito originale utilizzato per scopi dannosi come la distribuzione di malware o la raccolta di informazioni di accesso.

Tunneling DNS: Questo attacco utilizza altri protocolli per eseguire il tunneling di query e risposte DNS. Gli aggressori possono utilizzare protocolli SSH, TCP o HTTP per trasmettere malware o informazioni rubate a query DNS, non rilevate dalla maggior parte dei firewall.

Hijack del DNS: Nell’hijack del DNS l'attaccante reindirizza le query a un altro nameserver di dominio. Quest’operazione è eseguita tramite malware o la modifica non autorizzata di un server DNS. Sebbene il risultato sia simile a quello dello spoofing, si tratta di un attacco fondamentalmente diverso perché ha come obiettivo il record DNS del sito Web sul nameserver, piuttosto che la cache di un resolver.

DNS Hijacking

Attacco NXDOMAIN: Questo è un tipo di attacco flood DNS in cui un utente malintenzionato inonda un server DNS di richieste, chiedendo record inesistenti, nel tentativo di causare un denial-of-service per traffico legittimo. Ciò può essere realizzato utilizzando sofisticati strumenti di attacco in grado di generare automaticamente sottodomini unici per ogni richiesta. Gli attacchi NXDOMAIN possono anche colpire un resolver ricorsivo con l'obiettivo di riempire la cache del resolver con richieste spazzatura.

Attacco di dominio fantasma: Un attacco di dominio fantasma ha un risultato simile a un attacco NXDOMAIN su un resolver DNS. L'aggressore crea un gruppo di server di dominio "fantasma" che rispondono alle richieste molto lentamente o per niente. Un’ondata di richieste colpisce il resolver che viene bloccato in attesa di risposte, portando a prestazioni lente e denial-of-service.

Attacco casuale al sottodominio: In questo caso, l'aggressore invia delle query DNS per diversi sottodomini casuali e inesistenti di un sito legittimo. L'obiettivo è creare un denial-of-service per il nameserver autoritativo del dominio, rendendo impossibile la ricerca del sito web dal nameserver. Come effetto collaterale, anche l'ISP che serve l'aggressore può essere influenzato, poiché la cache del resolver ricorsivo verrà caricata di richieste errate.

Attacco con blocco del dominio: Gli aggressori orchestrano questa forma di attacco impostando domini e resolver speciali per creare connessioni TCP con altri resolver legittimi. Quando i resolver puntati inviano delle richieste, questi domini restituiscono flussi lenti di pacchetti casuali, vincolando le risorse del resolver.

Attacco CPE basato su botnet: Questi attacchi vengono eseguiti utilizzando dispositivi CPE (Customer Premise Equipment, ossia hardware forniti dai fornitori di servizi ai clienti, come modem, router, decoder, ecc.) Gli aggressori compromettono i CPE e i dispositivi diventano parte di una botnet, utilizzata per eseguire attacchi casuali di sottodomini contro un sito o dominio.

Qual è il modo migliore per proteggere dagli attacchi basati su DNS?

Oltre al DNSSEC, un operatore di una zona DNS può adottare ulteriori misure per proteggere i propri server. L'infrastruttura di over-provisioning è una strategia semplice per superare gli attacchi DDoS. In poche parole, se il tuo nameserver è in grado di gestire diversi multipli di traffico in più del previsto, è più difficile che un attacco basato sul volume travolga il tuo server.


Il routing Anycast è un altro strumento utile che può interrompere gli attacchi DDoS. Anycast consente a più server di condividere un singolo indirizzo IP, quindi anche se un server DNS viene spento, ne rimarranno comunque altri attivi e funzionanti. Un'altra strategia popolare per proteggere i server DNS è un firewall DNS.

Che cos'è un firewall DNS?

Un firewall DNS è uno strumento in grado di fornire numerosi servizi di sicurezza e prestazioni ai server DNS. Un firewall DNS si trova tra il resolver ricorsivo di un utente e il nameserver autoritativo del sito Web o del servizio che sta tentando di raggiungere. Il firewall può fornire servizi di rate limiting per arrestare gli aggressori che cercano di sopraffare il server. Se il server presenta tempi di inattività a seguito di un attacco o per qualsiasi altro motivo, il firewall DNS può mantenere attivo il sito o il servizio dell'operatore fornendo risposte DNS dalla cache. Oltre alle sue funzioni di sicurezza, un firewall DNS può anche fornire soluzioni prestazionali come ricerche DNS più veloci e costi di banda ridotti per l'operatore DNS. Ulteriori informazioni sul firewall DNS di Cloudflare.

Un firewall DNS è uno strumento in grado di fornire numerosi servizi di sicurezza e prestazioni per i server DNS. Un firewall DNS si trova tra il resolver ricorsivo di un utente e il nameserver autoritativo del sito Web o del servizio che sta tentando di raggiungere. Il firewall può fornire servizi di rate limiting per arrestare gli aggressori che cercano di sopraffare il server.


Se il server presenta tempi di inattività a seguito di un attacco, o per qualsiasi altro motivo, il firewall DNS può mantenere attivo il sito o il servizio dell'operatore fornendo risposte DNS dalla cache. Oltre alle sue funzioni di sicurezza, un firewall DNS può anche fornire soluzioni prestazionali come ricerche DNS più veloci e costi di banda ridotti per l'operatore DNS. Ulteriori informazioni sul firewall DNS di Cloudflare.

DNS come strumento di sicurezza

I resolver DNS possono anche essere configurati per fornire soluzioni di sicurezza per i loro utenti finali (chi naviga in Internet). Alcuni resolver DNS forniscono funzioni come il filtro dei contenuti, che può bloccare i siti noti per distribuire malware e spam, e la protezione delle botnet che blocca le comunicazioni con le botnet note. Molti di questi resolver DNS sicuri sono gratuiti e un utente può passare a uno di questi servizi DNS ricorsivi modificando una singola impostazione nel router locale. Cloudflare DNS pone l'accento sulla sicurezza.