O que é um ataque de amplificação de DNS?

Um ataque de amplificação de DNS é uma forma de ataque de Negação distribuída de serviço (DDoS) que abusa de servidores DNS acessíveis publicamente. O invasor aproveita o fato de as respostas do DNS serem maiores do que as solicitações correspondentes para ampliar os efeitos do ataque e enviar mais dados ao alvo pretendido.

Leia o Ebook Saiba mais

Como funciona um ataque de amplificação de DNS?

Os ataques de amplificação de DNS funcionam usando spoofing de IP para enviar mais dados ao alvo do que o atacante envia. O agente mal-intencionado fará uma solicitação a um serviço legítimo, como um servidor DNS, com o endereço IP falsificado para o da vítima.

O serviço enviará a resposta para esse endereço. Como os ataques de amplificação usam protocolos cujas respostas são maiores do que a solicitação correspondente, isso permite que o invasor consuma mais largura de banda do alvo do que usa em seus ataques volumétricos.

Os ataques de amplificação de DNS aproveitam os resolvedores de DNS abertos para aumentar a eficácia de um ataque DDoS. O DNS é uma escolha popular para ataques de amplificação por alguns motivos, entre eles:

Fator Descrição Vantagem para o atacante
Uso do UDP O DNS geralmente usa UDP, que não tem verificação de handshake. Falsificação de IP mais fácil para os invasores.
Protocolo confiável O DNS é um protocolo fundamental da Internet, geralmente permitido pelo firewall. Ignorar a filtragem do firewall com base no tipo de protocolo.
Respostas maiores As respostas do DNS contêm todos os dados solicitados que excedem o tamanho da solicitação. Amplia o volume de dados enviados ao destino.
Respostas configuráveis Os invasores podem criar registros DNS em massa para uma amplificação ainda maior. Maximiza o impacto do ataque.
Solicitações legítimas Os ataques podem utilizar domínios legítimos, tornando ineficaz a filtragem baseada em nomes de domínio. Difícil de distinguir do tráfego genuíno.

O impacto do ataque de amplificação de DNS

Os ataques de amplificação de DNS são um exemplo de ataque DDoS volumétrico. O objetivo desses ataques é inundar o alvo com tráfego de spam suficiente para consumir toda a largura de banda da rede ou algum outro recurso escasso (poder computacional etc.).

Ao usar o DNS para amplificação, um invasor pode dominar um alvo usando uma fração dos recursos consumidos pelo ataque. Geralmente, os ataques DDoS são projetados para colocar um serviço-alvo off-line. Se o invasor usar todos os recursos disponíveis, nenhum estará disponível para usuários legítimos, tornando o serviço inutilizável.

No entanto, ataques em menor escala também podem ter efeitos negativos sobre seus alvos...

Mesmo que um serviço não fique completamente off-line, o desempenho degradado pode ter um efeito negativo sobre os clientes. Além disso, todos os recursos consumidos pelo ataque custam dinheiro ao alvo e não trazem nenhum lucro para a empresa.

Estratégia de mitigação de ataques de amplificação de DNS

Aqui está a estratégia de atenuação contra esses ataques de DNS:

  • Verificação do IP de origem: Os ataques de amplificação de DNS exigem que o invasor realize a falsificação de IP. A verificação do IP de origem pode identificar esse tráfego de rede falsificado, permitindo que a organização o bloqueie.
  • Filtragem de pacotes com estado: Os pacotes de ataque de amplificação de DNS são respostas de DNS sem nenhuma solicitação correspondente. O rastreamento do estado das conexões de DNS permite que essas solicitações mal-intencionadas sejam identificadas e bloqueadas antes de chegarem ao sistema de destino.
  • Respostas de DNS com limitação de taxa: Os ataques de amplificação de DNS dependem da capacidade do invasor de inundar o alvo com um grande volume de respostas de DNS. Limitar a quantidade de dados de DNS que podem chegar a um computador pode ajudar a protegê-lo contra esse ataque.

Essas medidas são projetadas para proteger o alvo desses tipos de ataques.

A ameaça geral também pode ser gerenciada pelo controle do acesso aos resolvedores de DNS para evitar que eles sejam usados nesses ataques.

Como a Check Point atenua os ataques de amplificação de DNS

Aproveitando o efeito de amplificação fornecido pelo DNS, um invasor pode lançar um ataque muito maior do que poderia diretamente. No entanto, o DNS não é a única opção de amplificação de DDoS disponível, nem mesmo a que tem o maior fator de amplificação.

A proteção contra a amplificação de DNS e outros ataques DDoS requer uma solução de atenuação de DDoS que possa filtrar o tráfego de ataque e o tráfego legítimo antes que ele chegue ao servidor de destino.

O Check Point Quantum DDoS Protector oferece detecção e prevenção de ataques em tempo real para ataques DDoS de até 800 Gbps, fornecendo proteção robusta contra a ameaça DDoS. Para obter mais informações sobre o Quantum DDoS Protector e seus recursos, consulte esta folha de dados.

Iniciar

Proteção para DDoS 

O guia definitivo para Ransom Denial of Service (RDoS)

Escolhendo o eBook da solução DDoS correta

Firewall de última geração

Tópicos relacionados

O que é segurança DNS?

DNS (servidor de nomes de domínio)

Ataque DDoS

Segurança da IoT

DoS versus DDoS

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK