What Is a DNS Flood Attack?

Gli attacchi DNS Flood sono attacchi Distributed Denial of Service (DDoS) che prendono di mira i server DNS. Questi attacchi negano l'accesso al DNS, un protocollo Internet critico, che aiuta gli utenti a visitare i siti web. L'impossibilità di accedere al DNS impedisce agli utenti di navigare in qualsiasi sito Web i cui record DNS sono ospitati da tale server DNS.

Leggi l'e-book Scopri di più

Introduzione rapida al DNS

Ecco un'analisi semplificata del funzionamento del Domain Name Service (DNS):

  1. Query DNS: Quando digiti l'indirizzo di un sito Web nel tuo browser, un computer invia una richiesta (query DNS) a un server vicino chiamato resolver ricorsivo. Questa query legittima chiede essenzialmente: "Qual è l'indirizzo IP per il nome di questo sito web?"
  2. La ricerca: Il resolver ricorsivo agisce come un centralinista, contattando i name server autorevoli. Si tratta di server specializzati che contengono i dati più affidabili (indirizzo IP) per un nome di dominio specifico.
  3. Risposta DNS: Una volta che il server autorevole individua l'indirizzo IP, invia una risposta al resolver ricorsivo.
  4. La risposta: Il resolver ricorsivo inoltra quindi queste informazioni (indirizzo IP) al computer.
  5. Connessione stabilita: Il tuo computer ora ha l'indirizzo necessario e può connettersi direttamente al sito web.

Come funziona un attacco DNS flood?

Un attacco DNS flood funziona sovraccaricando i server DNS con un'enorme quantità di richieste di indirizzi Web falsi.

  • Funzionamento normale: Quando si tenta di accedere a un sito Web, il computer contatta un server DNS. Il server DNS funziona come un elenco telefonico, traducendo il nome di dominio nel suo indirizzo numerico (indirizzo IP di origine) che il tuo computer comprende.
  • Inizia l'attacco: Gli hacker bombardano il server DNS con un enorme volume di richieste di indirizzi di siti Web inesistenti o non validi.
  • Sovraccarico del sistema: Il server DNS viene sovraccaricato cercando di rispondere a tutte le richieste DNS. È come essere inondati da numeri di telefono sbagliati, rendendo difficile trovare il vero numero che stai cercando.
  • Impatto: Poiché il server è occupato nell'elaborazione di posta indesiderata, non è in grado di rispondere a richieste legittime di indirizzi di siti Web reali. Ciò si traduce in interruzioni del sito Web o tempi di caricamento lenti.

Gli attacchi DNS Flood possono essere eseguiti in vari modi, ma una delle minacce più comuni è una botnet Internet of Things (IoT). Queste raccolte di dispositivi IoT compromessi possono essere utilizzate per inviare enormi quantità di traffico a un risolutore DNS, mettendolo offline se manca di adeguate difese anti-DDoS.

Impatti di un attacco DNS Flood

Ecco gli impatti più comuni di un attacco DNS flood:

Impact Descrizione
Interruzioni del sito web I siti Web serviti dal server DNS di destinazione diventano inaccessibili. Gli utenti riscontrano messaggi di errore o pagine vuote.
Tempi di caricamento lenti Un'ondata di richieste false travolge i server, ritardando l'elaborazione delle richieste legittime e portando a un rallentamento del caricamento del sito web.
Servizi online interrotti Interrompe i servizi online (e-mail, online banking) che si basano sul server DNS di destinazione.
Perdita di produttività e ricavi Le interruzioni del sito Web e i tempi di caricamento lenti possono portare a una perdita di produttività e ricavi per le aziende.
Danno reputazionale Gli attacchi possono danneggiare la reputazione di un'azienda, compromettendo la fiducia dei clienti.

Il DNS è un potenziale singolo punto di errore nella moderna infrastruttura di rete.

Se un'organizzazione si affida a uno o più server DNS per risolvere il proprio nome di dominio, un flood DNS che mette fuori uso questi server può rendere il sito Web inaccessibile agli utenti, con conseguente potenziale perdita finanziaria. L'esempio più famoso di questi tipi di attacchi è stato un attacco contro Dyn nel 2016, che ha causato interruzioni sui principali siti, tra cui Netflix, PayPal e Twitter.

Mitigazione degli attacchi DNS Flood

Gli attacchi DNS flood sono difficili da proteggere, poiché prendono di mira server che devono essere accessibili pubblicamente con spam ma anche traffico potenzialmente legittimo. Alcuni metodi che rendono difficile l'esecuzione di questi attacchi o ne limitano l'efficacia includono:

  • Overprovisioning delle risorse: in genere, gli attacchi DNS Flood sono progettati per consumare la larghezza di banda della rete o la capacità di calcolo dei server DNS. Sebbene il sovradimensionamento della larghezza di banda della rete e dei server non impedisca un attacco, aumenta il volume di traffico che l'aggressore dovrà generare e sostenere per raggiungere i propri obiettivi.
  • DNS Anycast: La rete anycast invia il traffico al più vicino dei computer utilizzando un particolare indirizzo IP. Con una rete distribuita a livello globale di server DNS che utilizza reti anycast, è molto più difficile per un utente malintenzionato generare il volume di traffico necessario a sopraffare l'intera infrastruttura DNS di un'organizzazione.
  • Caching DNS: il caching DNS salva copie dei record DNS a cui si accede comunemente su una rete di server distribuiti. Se una richiesta DNS raggiunge la cache, non viene inoltrata al server di origine DNS, riducendo il carico su tale server.
  • Limitazione della velocità: Gli attacchi DNS flood tentano di sovraccaricare un server DNS con traffico dannoso. L'implementazione della limitazione della velocità riduce il volume di traffico che un determinato indirizzo IP può inviare al server, il che può ridurre l'impatto di un attacco flood DNS.
  • Blocco geografico: Le botnet IoT sono generalmente distribuite, quindi il traffico di attacco può provenire da una determinata regione o da tutto il mondo. Se gli utenti di un servizio si trovano in una determinata regione, il blocco del traffico dall'esterno di tale regione può ridurre il volume del traffico di attacco.

La migliore protezione contro gli attacchi DNS flood è l'implementazione di soluzioni di mitigazione DDoS. Questi servizi sono in grado di identificare e filtrare il traffico flood DNS, impedendo al contempo il sovraccarico di un server DNS e consentendogli di servire utenti legittimi.

In che modo Check Point mitiga gli attacchi DNS Flood

La protezione dell'infrastruttura DNS è essenziale per il corretto funzionamento di Internet. Gli attacchi DNS flood rappresentano un rischio significativo per questi sistemi a causa della loro capacità di sovraccaricare i server DNS con più traffico di quanto possano gestire.

Inoltre, la maggior parte delle soluzioni progettate per mitigare questi attacchi ne riduce solo l'efficacia, non li blocca completamente. Il modo migliore per proteggersi dai flood DNS e da attacchi simili è con una soluzione di mitigazione DDoS.

Check Point Quantum DDoS Protector offre una solida protezione anche contro gli attacchi più grandi, sfruttando l'apprendimento automatico e l'IA per fornire rilevamento e prevenzione degli attacchi in tempo reale per attacchi DDoS fino a 800 Gbps. Scopri di più sulle funzionalità di Quantum DDoS Protector e su come può ridurre l'esposizione della tua organizzazione ai DNS Flood e ad altri attacchi DDoS con questa scheda tecnica.

Per iniziare

Check Point Quantum DDoS Protector

Quantum Spark Small Business firewall

Quantum NGFW

quantum titan

Argomenti correlati

Che cos'è il DNS?

Attacco DDOS

Che cos'è la sicurezza DNS?

Che cos'è la ricerca delle minacce?

Security Operations Center (SOC)

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK