DNS amplification attack

Amplificação de DNS é um ataque de DDoS que tira proveito dos resolvedores de DNS para sobrecarregar uma vítima com tráfego.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um ataque de amplificação de DNS
  • Explicar como funciona um ataque de amplificação de DNS
  • Entender diversas estratégias de mitigação de ataques de amplificação de DNS

Copiar o link do artigo

O que é um ataque de amplificação de DNS?

Esse ataque de DDoS é um ataque volumétrico de negação de serviço distribuída (DDoS) baseado em reflexão, no qual um invasor explora uma funcionalidade dos resolvedores de DNS abertos de modo a sobrecarregar uma rede ou servidor visados com uma quantidade amplificada de tráfego, tornando o alvo e a infraestrutura que o circunda inacessíveis.

Como funciona um ataque de amplificação de DNS?

All amplification attacks exploit a disparity in bandwidth consumption between an attacker and the targeted web resource. When the disparity in cost is magnified across many requests, the resulting volume of traffic can disrupt network infrastructure. By sending small queries that result in large responses, the malicious user is able to get more from less. By multiplying this magnification by having each bot in a botnet make similar requests, the attacker is both obfuscated from detection and reaping the benefits of greatly increased attack traffic.

Um único bot em um ataque de amplificação de DNS pode ser comparado a um adolescente malicioso que liga para um restaurante e diz, “Quero todos os itens do seu cardápio, um de cada. Agora me ligue de volta e repita todo o meu pedido”. Quando o restaurante pergunta para qual telefone deve retornar, o número fornecido é o da vítima visada. Em seguida, a vítima recebe uma ligação do restaurante com um monte de informações que não solicitou.

As a result of each bot making requests to open DNS resolvers with a spoofed IP address, which has been changed to the real source IP address of the targeted victim, the target then receives a response from the DNS resolvers. In order to create a large amount of traffic, the attacker structures the request in a way that generates as large a response from the DNS resolvers as possible. As a result, the target receives an amplification of the attacker’s initial traffic, and their network becomes clogged with the spurious traffic, causing a denial-of-service.

Diagrama de um ataque de DDoS por amplificação de DNS

Uma amplificação de DNS pode ser dividida em quatro etapas:

  1. O invasor usa um ponto de terminação comprometido para enviar pacotes UDP com endereços de IP falsificados para um recursor de DNS. O endereço falsificado dos pacotes aponta para o endereço de IP real da vítima.
  2. Cada pacote UDP faz uma solicitação para o resolvedor de DNS, geralmente transmitindo um argumento como "ANY" (qualquer um) para receber a maior resposta possível.
  3. Após receber as solicitações, o resolvedor de DNS — que, ao responder, está tentando ser útil — envia uma longa resposta ao endereço de IP falsificado.
  4. O endereço IP do alvo de ataque recebe a resposta e a infraestrutura de rede circundante fica sobrecarregada com a avalanche de tráfego, resultando em uma negação de serviço.

Embora algumas poucas solicitações não sejam suficientes para derrubar a infraestrutura de rede, quando essa sequência é multiplicada por várias solicitações e resolvedores de DNS a amplificação de dados que o alvo do ataque recebe pode ser substancial. Confira outros detalhes técnicos dos ataques de reflexão.

Como um ataque de amplificação de DNS é mitigado?

For an individual or company running a website or service, mitigation options are limited. This comes from the fact that the individual’s server, while it might be the target, is not where the main effect of a volumetric attack is felt. Due to the high amount of traffic generated, the infrastructure surrounding the server feels the impact. The Internet Service Provider (ISP) or other upstream infrastructure providers may not be able to handle the incoming traffic without becoming overwhelmed. As a result, the ISP may blackhole all traffic to the targeted victim’s IP address, protecting itself and taking the target’s site off-line. Mitigation strategies, aside from offsite protective services like Cloudflare DDoS protection, are mostly preventative Internet infrastructure solutions.

Reduza o número total de resolvedores de DNS abertos

An essential component of DNS amplification attacks is access to open DNS resolvers. By having poorly configured DNS resolvers exposed to the Internet, all an attacker needs to do to utilize a DNS resolver is to discover it. Ideally, DNS resolvers should only provide their services to devices that originate within a trusted domain. In the case of reflection based attacks, the open DNS resolvers will respond to queries from anywhere on the Internet, allowing the potential for exploitation. Restricting a DNS resolver so that it will only respond to queries from trusted sources makes the server a poor vehicle for any type of amplification attack.

Verificação do IP de origem: evite a saída de pacotes falsificados da rede

Because the UDP requests being sent by the attacker’s botnet must have a source IP address spoofed to the victim’s IP address, a key component in reducing the effectiveness of UDP-based amplification attacks is for Internet service providers (ISPs) to reject any internal traffic with spoofed IP addresses. If a packet is being sent from inside the network with a source address that makes it appear like it originated outside the network, it’s likely a spoofed packet and can be dropped. Cloudflare highly recommends that all providers implement ingress filtering, and at times will reach out to ISPs who are unknowingly taking part in DDoS attacks and help them realize their vulnerability.

Como a Cloudflare mitiga os ataques de amplificação de DNS?

With a properly configured firewall and sufficient network capacity (which isn't always easy to come by unless you are the size of Cloudflare), it's trivial to block reflection attacks such as DNS amplification attacks. Although the attack will target a single IP address, our Anycast network will scatter all attack traffic to the point where it is no longer disruptive. Cloudflare is able to use our advantage of scale to distribute the weight of the attack across many Data Centers, balancing the load so that service is never interrupted and the attack never overwhelms the targeted server’s infrastructure. During a recent six month window our DDoS mitigation system "Gatebot" detected 6,329 simple reflection attacks (that's one every 40 minutes), and the network successfully mitigated all of them. Learn more about Cloudflare's advanced DDoS Protection.