Ataque de amplificação de DNS

Amplificação de DNS é um ataque de DDoS que tira proveito dos resolvedores de DNS para sobrecarregar uma vítima com tráfego.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um ataque de amplificação de DNS
  • Explicar como funciona um ataque de amplificação de DNS
  • Entender diversas estratégias de mitigação de ataques de amplificação de DNS

Copiar o link do artigo

O que é um ataque de amplificação de DNS?

Esse ataque de DDoS é um ataque volumétrico de negação de serviço distribuída (DDoS) baseado em reflexão, no qual um invasor explora uma funcionalidade dos resolvedores de DNS abertos de modo a sobrecarregar uma rede ou servidor visados com uma quantidade amplificada de tráfego, tornando o alvo e a infraestrutura que o circunda inacessíveis.

Como funciona um ataque de amplificação de DNS?

Todos os ataques de amplificação exploram uma disparidade no consumo de largura de banda entre um invasor e o recurso web visado. Quando a disparidade de custo é ampliada para muitas solicitações, o volume de tráfego resultante pode desestabilizar a infraestrutura de Rede. Ao enviar consultas breves que resultam em longas respostas, o usuário malicioso consegue obter mais com menos. Ao multiplicar essa ampliação fazendo com que cadabot de umabotnet faça solicitações semelhantes, o invasor tanto se mantém encoberto e imune à detecção quanto colhe os benefícios de um tráfego de ataque intensamente aumentado.

Um único bot em um ataque de amplificação de DNS pode ser comparado a um adolescente malicioso que liga para um restaurante e diz, “Quero todos os itens do seu cardápio, um de cada. Agora me ligue de volta e repita todo o meu pedido”. Quando o restaurante pergunta para qual telefone deve retornar, o número fornecido é o da vítima visada. Em seguida, a vítima recebe uma ligação do restaurante com um monte de informações que não solicitou.

Como resultado da solicitação enviada por cada bot para os resolvedores de DNS abertos com um endereço de IP falsificado, que foi alterado para o endereço de IP de origem real da vítima visada, o alvo do ataque, então, recebe uma resposta dos resolvedores de DNS. Para criar uma grande quantidade de tráfego, o invasor estrutura a solicitação de maneira a gerar a maior resposta possível dos resolvedores de DNS. Como resultado, o alvo do ataque recebe uma amplificação do tráfego inicial do invasor e sua Rede fica obstruída pelo tráfego espúrio, causando uma negação de serviço.

Uma amplificação de DNS pode ser dividida em quatro etapas:

  1. O invasor usa um ponto de terminação comprometido para enviar pacotes UDP com endereços de IP falsificados para um recursor de DNS. O endereço falsificado dos pacotes aponta para o endereço de IP real da vítima.
  2. Cada pacote UDP faz uma solicitação para o resolvedor de DNS, geralmente transmitindo um argumento como "ANY" (qualquer um) para receber a maior resposta possível.
  3. Após receber as solicitações, o resolvedor de DNS — que, ao responder, está tentando ser útil — envia uma longa resposta ao endereço de IP falsificado.
  4. O endereço IP do alvo de ataque recebe a resposta e a infraestrutura de rede circundante fica sobrecarregada com a avalanche de tráfego, resultando em uma negação de serviço.

Embora algumas poucas solicitações não sejam suficientes para derrubar a infraestrutura de rede, quando essa sequência é multiplicada por várias solicitações e resolvedores de DNS a amplificação de dados que o alvo do ataque recebe pode ser substancial. Confira outros detalhes técnicos dos ataques de reflexão.

Como um ataque de amplificação de DNS é mitigado?

Para um indivíduo ou empresa acessando um site ou um serviço, as opções de mitigação são limitadas. Isso decorre do fato de que, embora possa ser o alvo, não é o servidor do indivíduo que sofre os efeitos principais de um ataque volumétrico. Devido à alta quantidade de tráfego gerada, a infraestrutura que rodeia o servidor sente o impacto. O Provedor de Internet (ISP) ou outros provedores de infraestrutura upstream podem não ser capazes de lidar com o tráfego de entrada sem ficarem sobrecarregados. Como resultado, o provedor poderá encaminhar o tráfego para o endereço de IP da vítima visada como em uma filtragem blackhole, derrubando o site da vítima e se protegendo enquanto isso. Além dos serviços de proteção externos como a proteção contra DDoS da Cloudflare, as estratégias de mitigação consistem, principalmente, em soluções preventivas de infraestrutura de internet.

Reduza o número total de resolvedores de DNS abertos

Um componente essencial dos ataques de amplificação de DNS é o acesso a resolvedores de DNS abertos. A existência de resolvedores de DNS mal configurados expostos à internet significa que tudo o que um invasor precisa fazer para utilizar um resolvedor de DNS é descobri-lo. O ideal é que os resolvedores de DNS forneçam seus serviços apenas para dispositivos originários de um domínio confiável. No caso de ataques baseados em reflexão, os resolvedores de DNS abertos irão responder a consultas provenientes de qualquer lugar da internet, permitindo a possibilidade de exploração. Restringir um resolvedor de DNS de forma a fazer com que ele responda apenas a consultas de fontes confiáveis tornará o servidor um veículo insatisfatório para qualquer tipo de ataque de amplificação.

Verificação do IP de origem: evite a saída de pacotes falsificados da rede

Como as solicitações UDP enviadas pela botnet do invasor precisam ter um endereço de IP de origem falsificado para o endereço de IP da vítima, um componente crucial para reduzir a eficácia dos ataques de amplificação baseados em UDP é que os provedores de internet (ISPs) rejeitem qualquer tráfego interno com endereços de IP falsificados. Se um pacote for enviado de dentro da Rede com um endereço de origem que o faça parecer como originado fora da Rede, trata-se provavelmente de um pacote falsificado que pode ser abandonado. A Cloudflare considera altamente recomendável que todos os provedores implementem a filtragem do tráfego de entrada e periodicamente poderá entrar em contato com os provedores que, sem saber, participam de ataques de DDoS, ajudando-os a perceber sua vulnerabilidade.

Como a Cloudflare mitiga os ataques de amplificação de DNS?

Com um firewall configurado corretamente e uma capacidade de Rede suficiente (o que nem sempre é fácil de encontrar, a menos que você seja do tamanho da Cloudflare), torna-se banal bloquear ataques de reflexão como os ataques de amplificação de DNS. Embora o ataque tenha como alvo um único endereço de IP, nossa Rede Anycast irá dispersar todo o tráfego do ataque até o ponto em que deixe de ser disruptivo. A Cloudflare consegue usar nossa escala a nosso favor de modo a distribuir o peso do ataque entre vários data centers, balanceando a carga para que o serviço nunca seja interrompido e o ataque nunca sobrecarregue a infraestrutura do servidor visado. Recentemente, nosso sistema "Gatebot" de mitigação de DDoS detectou 6.329 ataques de reflexão simples durante um período de seis meses (o que equivale a um ataque a cada 40 minutos) e nossa Rede conseguiu mitigar todos eles com sucesso. Saiba mais sobre a Proteção contra DDoSavançada da Cloudflare.