Problema de DNS relacionado con ataques DDoS empeora

Seguridad de Internet Los expertos dicen que los DSL y los módems de cable mal configurados están empeorando un problema bien conocido del DNS de Internet (sistema de nombres de dominio), facilitando a los piratas informáticos el lanzamiento de ataques distribuidos de denegación de servicio (DDoS) contra sus víctimas.

El conjunto de investigación será lanzado en los próximos días, parte del problema se atribuye al creciente número de dispositivos de consumo en Internet que están configurados para aceptar consultas DNS desde cualquier lugar, lo que los expertos en redes llaman un "recursivo abierto" o "abierto" resolver "sistema. A medida que más consumidores demandan Internet de banda ancha, los proveedores de servicios están lanzando modems configurados de esta manera para sus clientes, dijo Cricket Liu, vicepresidente de arquitectura de Infoblox, la empresa de dispositivos DNS que patrocinó la investigación. "Los dos principales culpables que encontramos fueron Telefónica y France Telecom", dijo.

De hecho, el porcentaje de sistemas DNS en Internet que se configuran de esta manera ha aumentado de alrededor del 50 por ciento en 2007, a casi el 80 por ciento este año, de acuerdo con Liu.

[Más información: las mejores cajas NAS para transmisión de medios y respaldo]

Aunque no ha visto los datos de Infoblox, el investigador de Georgia Tech David Dagon estuvo de acuerdo en que los sistemas recursivos abiertos están en aumento, en parte debido al "aumento en los dispositivos de la red hogareña que permiten múltiples computadoras en Internet".

"Casi todos los ISP distribuyen un DSL / dispositivo de cable para el hogar", dijo en una entrevista por correo electrónico. "Muchos de los dispositivos tienen servidores DNS incorporados. Estos a veces pueden enviarse en estados 'abiertos por defecto'".

Debido a que los módems configurados como servidores recursivos abiertos responderán consultas de DNS de cualquier persona en Internet, se pueden usar en lo que se conoce como ataque de amplificación de DNS.

En este ataque, los hackers envían mensajes falsos de consulta DNS al servidor recursivo, engañándolos para que respondan a la computadora de la víctima. Si los malos saben lo que están haciendo, pueden enviar un pequeño mensaje de 50 bytes a un sistema que responderá enviando a la víctima hasta 4 kilobytes de datos. Al bombardear varios servidores DNS con estas consultas falsas, los atacantes pueden abrumar a sus víctimas y dejarlos sin conexión.

Los expertos en DNS conocen el problema de la configuración recursiva abierta desde hace años, por lo que es sorprendente que las cifras estén aumentando.

Sin embargo, según Dagon, un tema más importante es el hecho de que muchos de estos dispositivos no incluyen parches para una falla de DNS ampliamente publicitada descubierta por el investigador Dan Kaminsky el año pasado. Esa falla podría usarse para engañar a los propietarios de estos dispositivos para que usen servidores de Internet controlados por hackers sin darse cuenta de que han sido engañados.

Infoblox estima que el 10 por ciento de los servidores recursivos abiertos en Internet no han sido parcheados.

La encuesta Infoblox fue realizada por The Measurement Factory, que obtiene sus datos escaneando aproximadamente el 5 por ciento de las direcciones IP en Internet. Los datos se publicarán aquí en los próximos días.

Según el presidente de Measurement Factory Duane Wessels, los ataques de amplificación de DNS sí ocurren, pero no son la forma más común de ataque DDoS. "Aquellos de nosotros que rastreamos esto y somos conscientes de ello, tienden a estar un poco sorprendidos de que no vemos más ataques que usen resolución abierta", dijo. "Es una especie de rompecabezas".

Wessels cree que el avance hacia el estándar IPv6 de próxima generación puede estar contribuyendo inadvertidamente al problema. Algunos de los módems están configurados para usar un software de servidor DNS llamado Trick or Tread Daemon (TOTd), que convierte las direcciones entre los formatos IPv4 e IPv6. A menudo, este software está configurado como un resolver abierto, dijo Wessels.