¿Qué es un ataque de amplificación de DNS?

Un ataque de amplificación DNS es una forma de ataque de denegación de servicio distribuido (DDoS) que abusa de los servidores DNS de acceso público. El atacante se aprovecha del hecho de que las respuestas DNS son mayores que las solicitudes correspondientes para amplificar los efectos de su ataque y enviar más datos al objetivo previsto.

Leer el libro electrónico Más información

¿Cómo funciona un ataque de amplificación de DNS?

Los ataques de amplificación de DNS funcionan mediante el uso de la suplantación de IP para enviar más datos al objetivo de los que envía un atacante. El actor malicioso realizará una solicitud a un servicio legítimo, como un servidor DNS, con la dirección IP falsificada por la de la víctima.

El servicio enviará la respuesta a esta dirección. Dado que los ataques de amplificación emplean protocolos cuyas respuestas son mayores que la solicitud correspondiente, esto permite al atacante consumir más ancho de banda de su objetivo del que emplea en sus ataques volumétricos.

Los ataques de amplificación de DNS aprovechan los solucionadores de DNS abiertos para mejorar la eficacia de un ataque DDoS. El DNS es una opción popular para los ataques de amplificación por varias razones, entre ellas:

Factor Descripción Beneficio para el atacante
Uso de UDP El DNS suele emplear UDP, que carece de verificación por protocolo de enlace. Suplantación de IP más fácil para los atacantes.
Protocolo de confianza El DNS es un protocolo fundamental de Internet, a menudo permitido a través de los firewall. Eludir el filtrado del firewall en función del tipo de protocolo.
Respuestas más grandes Las respuestas DNS contienen todos los datos aplicar que superan el tamaño de la solicitud. Amplifica el volumen de datos enviados al destino.
Respuestas configurables Los atacantes pueden crear registros DNS masivos para una amplificación aún mayor. Maximiza el impacto del ataque.
Solicitudes legítimas Los ataques pueden emplear dominios legítimos, lo que hace que el filtrado basado en nombres de dominio sea ineficaz. Difícil de distinguir del tráfico real.

El impacto del ataque de amplificación de DNS

Los ataques de amplificación de DNS son un ejemplo de ataque DDoS volumétrico. El objetivo de estos ataques es inundar el objetivo con suficiente tráfico de spam como para consumir todo su ancho de banda de red o algún otro recurso escaso (potencia de cálculo, etc.).

Mediante el uso de DNS para la amplificación, un atacante puede abrumar a un objetivo mientras emplea una fracción de los recursos consumidos por su ataque. A menudo, los ataques DDoS están diseñados para dejar fuera de línea un servicio objetivo. Si el atacante emplea todos los recursos disponibles, ninguno está disponible para los usuarios legítimos, lo que hace que el servicio quede inutilizable.

Sin embargo, los ataques a menor escala también pueden tener efectos negativos en sus objetivos...

Incluso si un servicio no se desconecta por completo, el rendimiento degradado puede tener un efecto negativo en sus clientes. Además, todos los recursos consumidos por el ataque cuestan dinero al objetivo y no aportan ningún beneficio a la compañía.

Estrategia de mitigación de ataques de amplificación de DNS

Esta es la estrategia de mitigación contra estos ataques de DNS:

  • Verificación de IP de origen: Los ataques de amplificación de DNS requieren que el atacante realice la suplantación de IP. La verificación de la IP de origen puede identificar este tráfico de red falsificado, permitiendo a la organización bloquearlo.
  • Filtrado de paquetes con estado: Los paquetes de ataque de amplificación de DNS son respuestas de DNS sin ninguna solicitud correspondiente. El seguimiento del estado de las conexiones DNS permite identificar y bloquear estas solicitudes maliciosas antes de que lleguen al sistema de destino.
  • Respuestas DNS que limitan la velocidad: Los ataques de amplificación de DNS dependen de que el atacante sea capaz de inundar el objetivo con un gran volumen de respuestas de DNS. Limitar la velocidad de la cantidad de datos DNS que pueden llegar a un equipo puede ayudar a protegerlo contra este ataque.

Estas medidas están diseñadas para proteger al objetivo de este tipo de ataques.

La amenaza general también se puede gestionar controlando el acceso a los solucionadores de DNS para evitar que se empleen en estos ataques.

Cómo mitiga Check Point los ataques de amplificación de DNS

Al aprovechar el efecto de amplificación proporcionado por el DNS, un atacante puede lanzar un ataque mucho mayor de lo que podría hacerlo directamente. Sin embargo, DNS no es la única opción de amplificación DDoS disponible, ni siquiera es la que tiene el mayor factor de amplificación.

La protección contra la amplificación de DNS y otros ataques DDoS requiere una solución de mitigación de DDoS que pueda filtrar el tráfico de ataque y el tráfico legítimo antes de que llegue al servidor de destino.

Check Point Quantum DDoS Protector ofrece detección y prevención de ataques en tiempo real para ataques DDoS de hasta 800 Gb/s, proporcionando una estable protección contra la amenaza DDoS. Para más información sobre Quantum DDoS Protector y sus capacidades, consulte esta hoja de datos.

Comenzar

Protección DDoS 

La guía definitiva para la denegación de servicio de rescate (RDoS)

Elegir la solución DDoS adecuada eBook

Firewall de última generación

Temas relacionados

¿Qué es la seguridad DNS?

DNS (Servidor de Nombres de Dominio)

Ataque DDoS

IoT Security

DoS vs DDoS

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.
Aceptar