Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/10/2013
Enverinament DNS gràcies als sistemes de protecció anti-DDoS
Un mètode habitual per a mitigar els atacs de denegació de servici distribuït basats en l’amplificació DNS, se sustenta a ignorar certs missatges quan se sospita que són consultes destinades a generar un atac. Però esta tècnica destinada a mitigar els atacs DDoS posa en risc els servidors que els utilitzen, perquè facilita a un atacant enverinar la memòria cau dels servidors DNS que l’usen.
El protocol DNS en general sempre ha sigut el punt dèbil en la xarxa. Atacs de falsejament d’identitat amb diferents tècniques, memòries cau enverinades, la vulnerabilitat de Kaminsky (que és un problema de disseny intrínsec al protocol), les fallades pròpies i vulnerabilitats d’implementació de BIND... La seua importància, senzilles característiques i la falta de seguretat es presten a tot tipus d’abusos. Últimament el protocol DNS està sent usat per a realitzar atacs DDoS aprofitant l’amplificació de trànsit. Però en certs casos pareix que el remei aplicat és pitjor que la malaltia, perquè facilita l’enverinament de la memòria cau. Així ho han demostrat Florian Maury i Mathieu Feuillet en la seua investigació "Blocking DNS Messages is Dangerous".
Amplificació DNS
Fins fa relativament poc, per a “fer caure”pàgines web importants bastava tindre una xarxa de zombis prou gran com per a generar el trànsit necessari. Però la "globalització" de servicis i millora dels sistemes DdoS en general, fan que cada vegada siga més complex per a un atacant disposar dels bots mínims per a causar dany. Així que necessiten "amplificar" eixe trànsit que generen per a poder atacar. Açò ho aconseguien en els 90 amb atacs tipus "smurf", però actualment (l’ICMP era fàcil de convertir en capes) s’usa sobretot el DNS. Tant ICMP com UDP permeten falsificar l’emissor i, sobretot, generar respostes "molt grans" a consultes molt xicotetes.
Així, el que els atacants fan és:
- Envien una petició xicoteta (pocs bytes) des de moltes màquines, falsifiquen l’adreça d’origen i fan pensar que les realitza la víctima. Faig així com
dig ANY microsoft.com.com @195.5.64.2 - Les envien a servidors DNS oberts, que resolen qualsevol petició. Estos servidors DNS reben les milers de xicotetes preguntes i tornen les milers de respostes gegantines (fins a 50 vegades més bytes que la pregunta) a la víctima, que rep un trànsit molt gran que no ha sol·licitat.
Llegiu la notícia completa en Eleven Paths.