O que são ataques DNS e como evitá-los?
Ataques ao Sistema de Nomes de Domínio (DNS) são uma ocorrência comum e, a cada ano, centenas de sites são vítimas desses tipos de ataques.
Para proteger uma rede contra essa categoria de explorações, é importante entender os diferentes tipos de ataques DNS, bem como os melhores métodos de mitigação.
O que é DNS?
O Sistema de Nomes de Domínio (DNS) é um sistema de nomenclatura estruturado usado por dispositivos da Internet para localizar recursos online. Dito isso, cada site na Internet tem um endereço de protocolo de Internet (IP) exclusivo, mas seria mais difícil para os humanos lembrar cada site por seus endereços IP porque eles são alfanuméricos.
Quando se trata de infraestrutura DNS, há dois componentes principais que compõem o sistema, e eles são servidores autorizados que hospedam as informações de IP e servidores recursivos que estão envolvidos na busca por informações de IP.
Os ataques DNS podem ser usados contra qualquer um deles.
Tipos de ataques DNS
Os invasores geralmente usam uma variedade de técnicas para interromper a funcionalidade do DNS. A seguir está um esboço de alguns dos métodos mais comuns.
1. DNS Floods
Uma inundação de DNS usa vetores de ataque de negação de serviço distribuído (DDoS) para direcionar os servidores do sistema de nomes de domínio e é usado para interromper o acesso a certos domínios.
Os invasores usam inundações de DNS para inundar os servidores DNS recursivos com uma parede de solicitações ilegítimas, impedindo-os de processar adequadamente as consultas legítimas.
Eles normalmente extraem tráfego de uma grande variedade de locais, dispositivos e IPs, dificultando a diferenciação entre tráfego normal e "gerado".
Os botnets que controlam milhares de IoT e computadores hackeados são geralmente controlados para o esquema e seus endereços IP de origem falsificados usando scripts.
Medidas de mitigação
Existem várias maneiras de prevenir ataques de inundação de domínio e incluem a instalação de protocolos de verificação de IP. Os sistemas de detecção e bloqueio de anomalias de aprendizado de máquina são os melhores para isso.
Se o problema for particularmente sério e essas medidas de interceptação estiverem faltando, a desativação de servidores DNS recursivos atenuará o problema, evitando mais retransmissões.
Limitar as solicitações apenas a clientes autorizados é outra maneira de resolver o problema. Ter uma configuração de Limite de Taxa de Resposta (RRL) baixa nos servidores autoritativos também funciona.
2. Envenenamento de cache DNS
O envenenamento do cache DNS envolve a manipulação do servidor DNS por entidades maliciosas para redirecionar o tráfego de servidores legítimos. É basicamente uma manobra de servidor para servidor.
Um invasor pode, por exemplo, alterar as informações no servidor DNS do Instagram para que aponte para o IP do Twitter. Na maioria dos casos, os redirecionamentos levam os visitantes a sites controlados por hackers onde ataques de phishing, XSS e outras vulnerabilidades são executados.
Em alguns casos, os ataques podem ser escalados visando provedores de serviços de Internet, especialmente se vários deles dependerem de servidores específicos para recuperar dados DNS. Depois que os servidores primários são comprometidos, a infecção se torna sistemática e pode afetar os roteadores dos clientes conectados às redes.
Medidas de mitigação
Para evitar esses tipos de ataques, os servidores DNS devem ser configurados de forma que haja menos dependência de servidores externos à rede. Isso evita que os servidores DNS do invasor se comuniquem com os servidores de destino.
Instalar a versão mais recente do BIND no servidor também ajuda. Isso ocorre porque as versões atualizadas têm tecnologias de transação criptograficamente protegidas e recursos de randomização de portas que reduzem os ataques.
Por último, os ataques podem ser evitados restringindo as respostas do DNS para fornecer apenas informações específicas sobre o domínio consultado e simplesmente ignorar 'QUALQUER' solicitação. Responder a QUALQUER solicitação força o resolvedor de DNS a aproveitar mais informações sobre o domínio solicitado. Isso inclui registros MX, registros A e muito mais. As informações adicionais consomem mais recursos do sistema e amplificam o tamanho do ataque.
3. Ataques de negação de serviço de reflexão distribuída (DRDoS)
Ataques de negação de serviço reflexivo distribuído (DRDoS) tentam sobrecarregar a infraestrutura DNS enviando um grande volume de solicitações de protocolo de datagrama de usuário (UDP).
Endpoints comprometidos geralmente são usados para fazer isso. Os pacotes UDP funcionam sobre IPs para fazer solicitações a um resolvedor de DNS. A estratégia é favorecida porque o protocolo de comunicação UDP não tem requisitos de confirmação de entrega e as solicitações também podem ser duplicadas. Isso facilita a criação de congestionamento de DNS.
Nesse caso, os resolvedores de DNS direcionados tentam responder às solicitações falsas, mas são forçados a emitir um grande volume de respostas de erro e acabam ficando sobrecarregados.
Medidas de mitigação
Ataques de negação de serviço de reflexão distribuída (DRDoS) são uma forma de ataque DDoS e, para evitá-los, a aplicação de filtragem de rede de entrada deve ser feita para evitar spoofing. Como as consultas passam por resolvedores de DNS, configurá-los para resolver apenas solicitações de determinados endereços IP ajudará a atenuar o problema.
Isso geralmente envolve desabilitar a recursão aberta, reduzindo assim as brechas de ataque de DNS. A recursão aberta faz com que o servidor aceite solicitações de DNS de qualquer endereço IP e isso abre a infraestrutura para os invasores.
Configurar o Limite de Taxa de Resposta (RRL) também impedirá a taxa de incidências de DRDoS. Isso pode ser alcançado definindo um teto de limite de taxa. Este mecanismo impede que o servidor autoritativo lide com quantidades excessivas de consultas.
4. Ataques NXDOMAIN
Em um ataque de DNS NXDOMAIN, o servidor de destino é inundado com solicitações de registro inválidas. Os servidores proxy DNS (resolvedores) geralmente são direcionados nesta instância. Sua tarefa é consultar servidores DNS autorizados em busca de informações de domínio.
As solicitações inválidas envolvem o proxy DNS e os servidores autoritativos e disparam respostas de erro NXDOMAIN e causam problemas de latência de rede. A enxurrada de solicitações acaba causando problemas de desempenho no sistema DNS.
Medidas de mitigação
Os ataques NXDOMAIN DNS podem ser evitados permitindo que o servidor retenha mais informações de cache em solicitações válidas ao longo do tempo. Essa configuração garante que, mesmo durante um ataque, as solicitações legítimas possam passar sem a necessidade de armazenamento em cache adicional. Como tal, as informações solicitadas podem ser obtidas imediatamente.
Domínios e servidores suspeitos usados no esquema também podem ser bloqueados, liberando recursos.
5. Ataques de domínio fantasma
Ao executar um ataque de domínio fantasma, o invasor começa configurando um coletivo de domínios para que eles não respondam ou o façam muito lentamente ao receber uma consulta DNS. Os servidores recursivos são direcionados nesta instância.
Eles são direcionados com um grande volume de solicitações repetitivas que consultam os domínios fantasmas. As longas pausas de resposta resultam em um acúmulo de solicitações não resolvidas que congestionam a rede e ocupam recursos valiosos do servidor. Em última análise, o esquema impede que solicitações legítimas de DNS sejam processadas e impede que usuários acessem os domínios de destino.
Medidas de mitigação
Para mitigar ataques de domínio fantasma, limitar o número de solicitações recursivas sucessivas em cada servidor ajudará. Eles podem ser ainda mais limitados por zona.
Habilitar o holddown no servidor DNS para solicitações feitas a servidores que não respondem também evitará que o sistema seja sobrecarregado. O recurso limita o número de tentativas consecutivas feitas a servidores que não respondem, uma vez que atingem um determinado limite.
Aumentar o número de servidores recursivos também funciona.
Fique protegido contra perigos de DNS
A cada ano, os invasores de DNS apresentam uma série de truques incríveis para derrubar a infraestrutura online crítica, e os danos podem ser enormes.
Para indivíduos e empresas que dependem fortemente de domínios online, seguir as diretrizes de práticas recomendadas e instalar as tecnologias de impedimento de DNS mais recentes contribuirá muito para evitá-los.