Introducción rápida a DNS
A continuación, se muestra un desglose simplificado de cómo funciona el Servicio de nombres de dominio (DNS):
- Consulta DNS: Cuando escribe la dirección de un sitio web en su navegador, una computadora envía una solicitud (consulta DNS) a un servidor cercano llamado resolución recursiva. Esta consulta legítima esencialmente pregunta: "¿Cuál es la dirección IP para el nombre de este sitio web?"
- La búsqueda: El resolutor recursivo actúa como un operador de centralita, que se pone en contacto con servidores de nombres autorizados. Estos son servidores especializados que contienen los datos más confiables (dirección IP) para un nombre de dominio específico.
- Respuesta DNS: Una vez que el servidor autoritativo localiza la dirección IP, envía una respuesta al solucionador recursivo.
- La respuesta: A continuación, el solucionador recursivo transmite esta información (dirección IP) a su computadora.
- Conexión establecido: Su computadora ahora tiene la dirección necesaria y puede conectarse directamente al sitio web.
¿Cómo funciona un ataque de inundación de DNS?
Un ataque de inundación de DNS funciona abrumando los servidores DNS con una cantidad masiva de solicitudes de direcciones de sitios web falsos.
- Funcionamiento normal: Cuando intentas acceder a un sitio web, tu computadora se pone en contacto con un servidor DNS. El servidor DNS actúa como una guía telefónica, traduciendo el nombre de dominio a su dirección numérica (dirección IP de origen) que su computadora entiende.
- El ataque comienza: Los piratas informáticos bombardean el servidor DNS con un gran volumen de solicitudes de direcciones de sitios web inexistentes o inválidas.
- Sobrecarga del sistema: El servidor DNS se ve abrumado al intentar responder a todas las solicitudes DNS. Es como si te inundaran con números de teléfono incorrectos, lo que dificulta encontrar el número real que estás buscando.
- Impacto: Debido a que el servidor está ocupado procesando basura, no puede responder a las solicitudes legítimas de direcciones de sitios web reales. Esto da como resultado interrupciones del sitio web o tiempos de carga lentos.
Los ataques por inundación de DNS pueden realizar de varias formas, pero una de las amenazas más comunes es una red de bots de Internet de las cosas (IoT). Estas colecciones de dispositivos IoT comprometidos pueden emplear para enviar cantidades masivas de tráfico a un resolver DNS, dejándolo fuera de servicio si carece de defensas anti-DDoS adecuadas.
Impactos de un ataque de inundación de DNS
Estos son los impactos más comunes de un ataque de inundación de DNS:
| Impact |
Descripción |
| Interrupciones del sitio web |
Los sitios web servidos por el servidor DNS de destino se vuelven inaccesibles. Los usuarios encuentran mensajes de error o páginas en blanco. |
| Tiempos de carga lentos |
Una avalancha de solicitudes falsas satura los servidores, retrasando el procesamiento de solicitudes legítimas y provocando una carga lenta del sitio web. |
| Servicios en línea interrumpidos |
Interrumpe los servicios en línea (email, banca en línea) que dependen del servidor DNS objetivo. |
| Pérdida de productividad e ingresos |
Las interrupciones del sitio web y los tiempos de carga lentos pueden provocar una pérdida de productividad e ingresos para las compañías. |
| Daño reputacional |
Los ataques pueden dañar la reputación de una compañía, afectando a la confianza de los clientes. |
El DNS es un potencial punto único de fallo en la infraestructura de red moderna.
Si una organización depende de uno o varios servidores DNS para resolver su nombre de dominio, una inundación de DNS que derribe estos servidores puede hacer que el sitio web sea inaccesible para los usuarios, lo que puede provocar una posible pérdida financiera. El ejemplo más famoso de este tipo de ataques fue un ataque contra Dyn en 2016, que provocó interrupciones en los principales sitios, incluidos Netflix, PayPal y Twitter.
Mitigación de ataques de inundación de DNS
Los ataques de inundación de DNS son difíciles de proteger, ya que se dirigen a servidores que deben ser de acceso público con spam, pero también con tráfico potencialmente legítimo. Algunos métodos que dificultan la realización de estos ataques o limitan su eficacia son:
- Sobreaprovisionamiento de recursos: Normalmente, los ataques de inundación DNS están diseñados para consumir el ancho de banda de la red o la capacidad de cálculo de los servidores DNS. Aunque sobredimensionar el ancho de banda de la red y los servidores no impedirá un ataque, aumenta el volumen de tráfico que el atacante necesitará generar y mantener para lograr sus objetivos.
- DNS Anycast: Las redes Anycast envían el tráfico a la más cercana de varias computadoras empleando una dirección IP en individua. Con una red distribuida globalmente de servidores DNS que emplean redes anycast, es mucho más difícil para un atacante generar el volumen de tráfico necesario para saturar toda la infraestructura DNS de una organización.
- Almacenamiento en caché de DNS: El almacenamiento en caché de DNS almacena copias de los registros DNS a los que se accede con más frecuencia en una red de servidores distribuidos. Si una solicitud de DNS llega a la caché, no se reenvía al servidor de origen de DNS, lo que reduce la carga en ese servidor.
- Limitación de velocidad: Los ataques de inundación de DNS intentan abrumar un servidor DNS con tráfico malicioso. La implementación de la limitación de velocidad reduce el volumen de tráfico que una dirección IP determinada puede enviar al servidor, lo que puede disminuir el impacto de un ataque de inundación de DNS.
- Bloqueo geográfico: Las botnets de IoT generalmente están distribuidas, por lo que el tráfico de ataque puede provenir de toda una región en individua o de todo el mundo. Si los usuarios de un servicio se encuentran en una región determinada, el bloqueo del tráfico desde fuera de esa región puede reducir el volumen del tráfico de ataque.
La mejor protección contra los ataques de inundación de DNS es la implementación de soluciones de mitigación de DDoS. Estos servicios pueden identificar y filtrar el tráfico de inundación de DNS, evitando que un servidor DNS se vea abrumado y permitiéndole servir a usuarios legítimos.
Cómo mitiga Check Point los ataques de inundación DNS
La protección de la infraestructura DNS es esencial para el correcto funcionamiento de Internet. Los ataques de inundación de DNS representan un riesgo significativo para estos sistemas debido a su capacidad para abrumar los servidores DNS con más tráfico del que pueden manejar.
Además, la mayoría de las soluciones diseñadas para mitigar estos ataques solo reducen su efectividad, no los bloquean por completo. La mejor manera de proteger contra las inundaciones de DNS y ataques similares es con una solución de mitigación de DDoS.
Check Point Quantum DDoS Protector ofrece una estable protección incluso contra los ataques más grandes, aprovechando el aprendizaje automático y la IA para proporcionar detección y prevención de ataques en tiempo real para ataques DDoS de hasta 800 Gb/s. Obtenga más información sobre las capacidades de Quantum DDoS Protector y cómo puede reducir la exposición de su organización a las inundaciones de DNS y otros ataques DDoS con esta hoja de datos.
¿Está
Comentarios