Che cos'è un attacco di amplificazione DNS?

Un attacco di amplificazione DNS è una forma di attacco DDoS (Distributed Denial of Service) che sfrutta i server DNS accessibili pubblicamente. L'aggressore sfrutta il fatto che le risposte DNS sono maggiori delle richieste corrispondenti per amplificare gli effetti del suo attacco e inviare più dati al bersaglio previsto.

Leggi l'e-book Scopri di più

Come funziona un attacco di amplificazione DNS?

Gli attacchi di amplificazione DNS funzionano utilizzando l'IP spoofing per inviare più dati al bersaglio di quanti ne invii un utente malintenzionato. L'attore malintenzionato effettuerà una richiesta a un servizio legittimo, come un server DNS, con l'indirizzo IP falsificato a quello della vittima.

Il servizio invierà la risposta a questo indirizzo. Poiché gli attacchi di amplificazione utilizzano protocolli le cui risposte sono maggiori della richiesta corrispondente, ciò consente all'utente malintenzionato di consumare più larghezza di banda del bersaglio di quella utilizzata negli attacchi volumetrici.

Gli attacchi di amplificazione DNS sfruttano i resolver DNS aperti per migliorare l'efficacia di un attacco DDoS. Il DNS è una scelta popolare per gli attacchi di amplificazione per alcuni motivi, tra cui:

Fattore Descrizione Vantaggio per l'attaccante
Utilizzo UDP Il DNS utilizza spesso UDP, che non dispone della verifica dell'handshake. Spoofing IP più semplice per gli aggressori.
Protocollo attendibile Il DNS è un protocollo Internet fondamentale, spesso consentito tramite firewall. Ignora il filtraggio del firewall in base al tipo di protocollo.
Risposte più ampie Le risposte DNS contengono tutti i dati richiesti che superano le dimensioni della richiesta. Amplifica il volume di dati inviati al target.
Risposte configurabili Gli aggressori possono creare enormi record DNS per un'amplificazione ancora maggiore. Massimizza l'impatto dell'attacco.
Richieste legittime Gli attacchi possono utilizzare domini legittimi, rendendo inefficace il filtraggio basato sui nomi di dominio. Difficile da distinguere dal traffico vero e proprio.

L'impatto dell'attacco di amplificazione DNS

Gli attacchi di amplificazione DNS sono un esempio di attacco DDoS volumetrico. L'obiettivo di questi attacchi è inondare il bersaglio con traffico spam sufficiente a consumare tutta la larghezza di banda della rete o qualche altra risorsa scarsa (potenza di calcolo, ecc.).

Utilizzando il DNS per l'amplificazione, un utente malintenzionato può sopraffare un obiettivo utilizzando una frazione delle risorse consumate dall'attacco. Spesso, gli attacchi DDoS sono progettati per mettere offline un servizio di destinazione. Se l'utente malintenzionato utilizza tutte le risorse disponibili, nessuna è disponibile per gli utenti legittimi, rendendo il servizio inutilizzabile.

Tuttavia, gli attacchi su piccola scala possono anche avere effetti negativi sui loro obiettivi...

Anche se un servizio non viene messo completamente offline, le prestazioni degradate possono avere un effetto negativo sui suoi clienti. Inoltre, tutte le risorse consumate dall'attacco costano denaro all'obiettivo senza portare alcun profitto all'azienda.

Strategia di mitigazione degli attacchi di amplificazione DNS

Di seguito è riportata la strategia di mitigazione contro questi attacchi DNS:

  • Verifica IP di origine: Gli attacchi di amplificazione DNS richiedono all'utente malintenzionato di eseguire lo spoofing IP. La verifica dell'IP di origine può identificare questo traffico di rete contraffatto, consentendo all'organizzazione di bloccarlo.
  • Filtraggio dei pacchetti stateful: I pacchetti di attacco di amplificazione DNS sono risposte DNS senza alcuna richiesta corrispondente. Il monitoraggio dello stato delle connessioni DNS consente di identificare e bloccare queste richieste dannose prima che raggiungano il sistema di destinazione.
  • Risposte DNS con limitazione della velocità: Gli attacchi di amplificazione DNS si basano sulla capacità dell'aggressore di inondare l'obiettivo con un grande volume di risposte DNS. La limitazione della velocità della quantità di dati DNS che può raggiungere un computer può aiutare a proteggerlo da questo attacco.

Queste misure sono progettate per proteggere l'obiettivo di questi tipi di attacchi.

La minaccia complessiva può essere gestita anche controllando l'accesso ai resolver DNS per impedirne l'utilizzo in questi attacchi.

In che modo Check Point mitiga gli attacchi di amplificazione DNS

Sfruttando l'effetto di amplificazione fornito dal DNS, un utente malintenzionato può lanciare un attacco molto più grande di quello che potrebbe lanciare direttamente. Tuttavia, il DNS non è l'unica opzione di amplificazione DDoS disponibile, né è nemmeno quella con il fattore di amplificazione più elevato.

La protezione dall'amplificazione DNS e da altri attacchi DDoS richiede una soluzione di mitigazione DDoS in grado di filtrare il traffico di attacco e il traffico legittimo prima che raggiunga il server di destinazione.

Check Point Quantum DDoS Protector offre rilevamento e prevenzione degli attacchi in tempo reale per attacchi DDoS fino a 800 Gbps, fornendo una solida protezione contro la minaccia DDoS. Per ulteriori informazioni su Quantum DDoS Protector e le sue funzionalità, consulta questa scheda tecnica.

Per iniziare

Protezione DDoS 

La guida definitiva al Ransom Denial of Service (RDoS)

Come scegliere la giusta soluzione DDoS eBook

Firewall di Nuova Generazione

Argomenti correlati

Che cos'è la sicurezza DNS?

DNS (server dei nomi di dominio)

Attacco DDoS

IoT Security

DoS vs DDoS

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK