: Abren resoluciones DNS cada vez más abusadas para amplificar ataques DDoS

Los resolutores DNS (Sistema de nombres de dominio) abiertos y mal configurados se usan cada vez más para amplificar ataques de denegación de servicio (DDoS), según un informe publicado el miércoles por HostExploit, una organización que rastrea los hosts de Internet involucrados en actividades de ciberdelincuencia.

En la última edición de su Informe Mundial de Hosts, que cubre el tercer trimestre de 2012, la organización incluyó datos sobre los resolvedores abiertos de DNS y los Sistemas Autónomos: grandes bloques de direcciones de Protocolo de Internet (IP) controladas por operadores de red, donde se encuentran. d.

Eso se debe a que, de acuerdo con HostExploit, los servidores de resolución abierta DNS configurados incorrectamente (servidores que pueden ser utilizados por cualquier persona para resolver nombres de dominio en direcciones IP) son cada vez más utilizados para lanzar ataques DDoS poderosos.

[Más información: cómo para eliminar el malware de su PC con Windows]

Los ataques de amplificación de DNS datan de hace más de 10 años y se basan en el hecho de que pequeñas consultas DNS pueden generar respuestas de DNS significativamente más grandes.

Un atacante puede enviar solicitudes DNS fraudulentas a un una gran cantidad de resolvers DNS abiertos y uso de spoofing para que parezca como si esas solicitudes se originaran en la dirección IP del objetivo. Como resultado, los resolutores enviarán sus respuestas grandes a la dirección IP de la víctima en lugar de a la dirección del remitente.

Además de tener un efecto de amplificación, esta técnica hace que sea muy difícil para la víctima determinar la fuente original de la víctima. atacar y también hace imposible que los servidores de nombres que están más arriba en la cadena DNS sean consultados por los administradores de DNS abiertos y abusados ​​para ver la dirección IP de la víctima.

"El hecho de que existan muchos de estos recursors abiertos no administrados permite atacantes para ofuscar las IP de destino de los objetivos DDoS reales de los operadores de los servidores autorizados cuyos grandes registros están abusando ", dijo Roland Dobbins, arquitecto de soluciones en el equipo de respuesta de seguridad e ingeniería en el proveedor de protección DDoS Arbor Networks, el jueves por correo electrónico.

"También es importante tener en cuenta que el despliegue de DNSSEC ha hecho que los ataques de reflexión / amplificación de DNS sean bastante más fáciles, ya que la respuesta más pequeña que el atacante estimulará. o cualquier consulta que elija tiene al menos 1300 bytes ", dijo Dobbins.

A pesar de que este método de ataque se conoce desde hace años," la amplificación DDoS se usa ahora con mayor frecuencia y tiene un efecto devastador ", escribió Bryn Thompson de HostExploit el miércoles. en una publicación de blog.

"Hemos visto esto recientemente y lo vemos en aumento", dijo el jueves Neal Quinn, director de operaciones del proveedor de mitigación de DDoS, Prolexic.

"Esta técnica permite botnets relativamente pequeños para crea grandes inundaciones hacia su objetivo ", dijo Quinn. "El problema es grave porque crea grandes volúmenes de tráfico, que pueden ser difíciles de administrar para muchas redes sin el uso de un proveedor de mitigación de la nube".

Dobbins no pudo compartir inmediatamente datos sobre la frecuencia reciente de DNS. Ataques de amplificación DDoS, pero señaló que los ataques de reflexión / amplificación SNMP (Protocolo simple de administración de redes) y NTP (Protocolo de tiempo de red) "también pueden generar tamaños de ataque muy grandes y abrumadores".

En su informe, HostExploit clasificó los sistemas autónomos con la mayor cantidad de resolvedores abiertos de DNS en sus espacios de direcciones IP. El más alto, controlado por Terra Networks Chile, contiene más de 3,200 resolvedores abiertos en un grupo de alrededor de 1.3 millones de IP. El segundo, controlado por Telecomunicacoes de Santa Catarina (TELESC), que ahora forma parte de Oi, el operador de telecomunicaciones más grande de Brasil, contiene cerca de 3.000 resolvers en un espacio de 6.3 millones de direcciones IP.

"Cabe destacar que los servidores de nombres recursivos abiertos no son un problema en sí mismos; es la configuración errónea de un servidor de nombres donde se ubica el problema potencial ", dijo HostExploit en su informe.