What is a DNS flood? | DNS flood DDoS attack

A DNS flood is a DDoS attack that aims to flood and overwhelm a target DNS server.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um ataque de DDoS por inundação de DNS
  • Descrever como um ataque de inundação de DNS desabilita um alvo
  • Entender os métodos de mitigação de um ataque de inundação de DNS

Copiar o link do artigo

O que é uma inundação de DNS?

Os servidores de um Sistema de Nomes de Domínio (DNS) são as “listas telefônicas” da internet — o caminho através do qual os dispositivos de internet conseguem pesquisar servidores web específicos para acessar o conteúdo da internet. Uma inundação de DNS é um tipo de ataque de negação de serviço distribuído (DDoS) no qual um invasor inunda os servidores de DNS de um domínio específico na tentativa de interromper a resolução de DNS para o domínio em questão. Se um usuário for incapaz de localizar a lista telefônica, não conseguirá procurar o endereço nem fazer a ligação para um recurso em particular. Ao interromper a resolução de DNS, um ataque de inundação de DNS irá comprometer a capacidade de um site, API ou aplicativo web de responder ao tráfego legítimo. Os ataques de inundação de DNS podem ser difíceis de distinguir do tráfego pesado normal porque o grande volume de tráfego geralmente é proveniente de uma infinidade de locais únicos, consultando registros reais do domínio e imitando o tráfego legítimo.

Como funciona um ataque de inundação de DNS?

Diagrama de um ataque de DDoS por inundação de DNS

A função do Sistema de Nomes de Domínio é traduzir nomes de servidores de site fáceis de lembrar (como exemplo.com) em endereços difíceis de lembrar (como, por ex., 192.168.0.1), de forma que um ataque bem-sucedido à infraestrutura de DNS torna a internet impossível de usar para a maioria das pessoas. Os ataques de inundação de DNS constituem um tipo relativamente novo de ataque baseado em DNS, que proliferou com o aumento das botnets de Internet das Coisas (IoT) com alta largura de banda, como a Mirai. Os ataques de inundação de DNS usam as conexões de alta largura de banda das câmeras IP, caixas de DVR e outros dispositivos IoT para sobrecarregar diretamente os servidores DNS dos principais provedores. O volume de solicitações dos dispositivos IoT sobrecarrega os serviços do provedor de DNS e impede que usuários legítimos acessem os servidores DNS do provedor.

Os ataques de inundação de DNS são diferentes dos ataques de amplificação de DNS. Diferentemente das inundações de DNS, os ataques de amplificação de DNS refletem e amplificam o tráfego proveniente de servidores de DNS não protegidos de modo a ocultar a origem do ataque e aumentar sua eficácia. Os ataques de amplificação de DNS usam dispositivos com conexões de largura de banda inferior para fazer inúmeras solicitações a servidores DNS não protegidos. Os dispositivos fazem muitas pequenas solicitações de registros de DNS muito grandes, mas, ao fazer as solicitações, o invasor forja o endereço de retorno de modo que seja o da vítima pretendida. A amplificação permite que o invasor derrube alvos maiores usando apenas recursos de ataque limitados.

Como um ataque de inundação de DNS pode ser mitigado?

As inundações de DNS representam uma mudança dos métodos tradicionais de ataque baseados em amplificação. Com as botnets de alta largura de banda facilmente acessíveis, os invasores agora podem visar grandes organizações. Até que os dispositivos IoT comprometidos possam ser atualizados ou substituídos, a única maneira de resistir a esses tipos de ataque é usar um sistema de DNS muito grande e altamente distribuído que possa monitorar, absorver e bloquear o tráfego de ataque em tempo real. Saiba como a Proteção contra DDoS da Cloudflare protege contra ataques de inundação de DNS.