Ataque de amplificação de DNS

Amplificação de DNS é um ataque de DDoS que tira proveito dos resolvedores de DNS para sobrecarregar uma vítima com tráfego.

Ataque de amplificação de DNS Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um ataque de amplificação de DNS
  • Explicar como funciona um ataque de amplificação de DNS
  • Entender diversas estratégias de mitigação de ataques de amplificação de DNS

Copiar o link do artigo

O que é um ataque de amplificação de DNS?

Esse ataque de DDoS é um ataque volumétrico de negação de serviço distribuída (DDoS) baseado em reflexão, no qual um invasor explora uma funcionalidade dos resolvedores de DNS abertos de modo a sobrecarregar uma rede ou servidor visados com uma quantidade amplificada de tráfego, tornando o alvo e a infraestrutura que o circunda inacessíveis.

Como funciona um ataque de amplificação de DNS?

Todos os ataques de amplificação exploram uma disparidade no consumo de largura de banda entre um invasor e o recurso web visado. Quando a disparidade de custo é ampliada por muitas solicitações, o volume de tráfego resultante pode desestabilizar a infraestrutura de rede. Ao enviar consultas breves que resultam em longas respostas, o usuário malicioso consegue obter mais com menos. Ao multiplicar essa ampliação fazendo com que cada bot de uma botnet faça solicitações semelhantes, o invasor tanto se mantém encoberto e imune à detecção quanto colhe os benefícios de um tráfego de ataque intensamente aumentado.


Um único bot em um ataque de amplificação de DNS pode ser comparado a um adolescente malicioso que liga para um restaurante e diz, “Quero todos os itens do seu cardápio, um de cada. Agora me ligue de volta e repita todo o meu pedido”. Quando o restaurante pergunta para qual telefone deve retornar, o número fornecido é o da vítima visada. Em seguida, a vítima recebe uma ligação do restaurante com um monte de informações que não solicitou.


Como resultado da solicitação enviada por cada bot para os resolvedores de DNS abertos com um endereço de IP falsificado — que foi alterado para o endereço de IP real da vítima visada —, o alvo do ataque, então, recebe a resposta dos resolvedores de DNS. Para criar uma grande quantidade de tráfego, o invasor estrutura a solicitação de maneira a gerar a maior resposta possível dos resolvedores de DNS. Como resultado, o alvo do ataque recebe uma amplificação do tráfego inicial do invasor e sua rede fica entupida com o tráfego espúrio, causando uma negação de serviço.

Diagrama de um ataque de DDoS por amplificação de DNS

Uma amplificação de DNS pode ser dividida em quatro etapas:

  1. O invasor usa um ponto de terminação comprometido para enviar pacotes UDP com endereços de IP falsificados para um recursor de DNS. O endereço falsificado dos pacotes aponta para o endereço de IP real da vítima.
  2. Cada pacote UDP faz uma solicitação para o resolvedor de DNS, geralmente transmitindo um argumento como "ANY" (qualquer um) para receber a maior resposta possível.
  3. Após receber as solicitações, o resolvedor de DNS — que, ao responder, está tentando ser útil — envia uma longa resposta ao endereço de IP falsificado.
  4. O endereço IP do alvo de ataque recebe a resposta e a infraestrutura de rede circundante fica sobrecarregada com a avalanche de tráfego, resultando em uma negação de serviço.

Embora algumas poucas solicitações não sejam suficientes para derrubar a infraestrutura de rede, quando essa sequência é multiplicada por várias solicitações e resolvedores de DNS a amplificação de dados que o alvo do ataque recebe pode ser substancial. Confira outros detalhes técnicos dos ataques de reflexão.

Como um ataque de amplificação de DNS é mitigado?

Para uma pessoa ou empresa que roda um site ou um serviço, as opções de mitigação são limitadas. Isso ocorre porque o servidor da pessoa, embora possa ser o alvo, não é o mais afetado por um ataque volumétrico. Devido à alta quantidade de tráfego gerada, o impacto é sentido pela infraestrutura que circunda o servidor. O provedor de internet (ISP) ou outros provedores de infraestrutura upstream podem não conseguir lidar com o tráfego de entrada sem ficarem sobrecarregados. Como resultado, o ISP poderá fazer um roteamento blackhole do tráfego para o endereço de IP da vítima visada, derrubando o site da vítima e se protegendo enquanto isso. Além dos serviços de proteção externos, como a proteção contra DDoS da Cloudflare, a maior parte das estratégias de mitigação são soluções preventivas de infraestrutura de internet.

Reduza o número total de resolvedores de DNS abertos

Um componente essencial dos ataques de amplificação de DNS é o acesso a resolvedores de DNS abertos. A existência de resolvedores DNS mal configurados expostos à internet significa que tudo o que um invasor precisa fazer para utilizar um resolvedor DNS é descobri-lo. Idealmente, os resolvedores de DNS deveriam fornecer seus serviços apenas para dispositivos originários de um domínio confiável. No caso de ataques baseados em reflexão, os resolvedores de DNS abertos irão responder a consultas provenientes de qualquer lugar da internet, possivelmente permitindo a exploração. Se um resolvedor de DNS se limitar a responder apenas consultas de fontes confiáveis, o servidor se tornará um veículo insatisfatório para qualquer tipo de ataque de amplificação.

Verificação do IP de origem: evite a saída de pacotes falsificados da rede

Devido ao fato de que as solicitações UDP sendo enviadas pela botnet do invasor precisam ter um endereço de IP de origem falsificado para o endereço de IP da vítima, um componente crucial para reduzir a eficácia dos ataques de amplificação baseados em UDP é que os provedores de internet (ISPs) rejeitem qualquer tráfego interno com endereços de IP falsificados. Se um pacote sendo enviado de dentro da rede tiver um endereço de origem que o faça parecer como originado fora da rede, trata-se provavelmente de um pacote falsificado que pode ser abandonado. A Cloudflare recomenda fortemente que todos os provedores implementem a filtragem do tráfego de entrada e, às vezes, poderá entrar em contato com ISPs que, sem saber, participam de ataques de DDoS, ajudando-os a perceber sua vulnerabilidade.

Como a Cloudflare mitiga os ataques de amplificação de DNS?

Com um firewall configurado corretamente e uma capacidade de rede suficiente (o que nem sempre é fácil de encontrar, a menos que você seja do tamanho da Cloudflare), torna-se trivial bloquear ataques de reflexão como os ataques de amplificação de DNS. Embora o ataque tenha como alvo um único endereço de IP, nossa rede Anycast irá dispersar todo o tráfego do ataque até o ponto em que deixe de ser disruptivo. A Cloudflare consegue usar nossa escala a nosso favor de modo a distribuir o peso do ataque entre vários data centers, balanceando a carga para que o serviço nunca seja interrompido e o ataque nunca sobrecarregue a infraestrutura do servidor visado. Recentemente, nosso sistema "Gatebot" de mitigação de DDoS detectou 6.329 ataques de reflexão simples durante um período de seis meses (o que equivale a um ataque a cada 40 minutos) e nossa rede conseguiu mitigar todos eles com sucesso. Saiba mais sobre a proteção avançada contra DDoS da Cloudflare.