What Is a DNS Flood Attack?

Os ataques de inundação de DNS são ataques de Negação distribuída de serviço (DDoS) direcionados a servidores DNS. Esses ataques negam o acesso ao DNS, um protocolo essencial da Internet, que ajuda os usuários a visitar sites. Não ter acesso ao DNS impede que os usuários naveguem em qualquer site cujos registros de DNS estejam hospedados nesse servidor DNS.

Leia o Ebook Saiba mais

Introdução rápida ao DNS

Veja a seguir um detalhamento simplificado de como funciona o DNS (Domain Name Service):

  1. Consulta de DNS: Quando o senhor digita o endereço de um site no navegador, um computador envia uma solicitação (consulta de DNS) a um servidor próximo chamado resolvedor recursivo. Essa consulta legítima pergunta essencialmente: "Qual é o endereço IP desse nome de site?".
  2. A busca: O resolvedor recursivo atua como um operador de central telefônica, entrando em contato com servidores de nomes autorizados. Esses são servidores especializados que mantêm os dados mais confiáveis (endereço IP) para um nome de domínio específico.
  3. Resposta do DNS: Quando o servidor autoritativo localiza o endereço IP, ele envia uma resposta de volta ao resolvedor recursivo.
  4. A resposta: O resolvedor recursivo retransmite essas informações(endereço IP) para o seu computador.
  5. Conexão estabelecida: Seu computador agora tem o endereço necessário e pode se conectar diretamente ao site.

Como funciona um ataque de DNS Flood?

Um ataque de inundação de DNS funciona sobrecarregando os servidores DNS com uma quantidade enorme de solicitações de endereços de sites falsos.

  • Operação normal: Quando o senhor tenta acessar um site, o computador entra em contato com um servidor DNS. O servidor DNS funciona como uma lista telefônica, traduzindo o nome de domínio em seu endereço numérico (endereço IP de origem) que o computador entende.
  • O ataque começa: Os hackers bombardeiam o servidor DNS com um grande volume de solicitações de endereços de sites inexistentes ou inválidos.
  • Sobrecarga do sistema: O servidor DNS fica sobrecarregado ao tentar responder a todas as solicitações de DNS. É como ser inundado com números de telefone errados, dificultando a localização do número real que o senhor está procurando.
  • Impacto: Como o servidor está ocupado processando lixo eletrônico, ele não pode responder a solicitações legítimas de endereços reais de sites. Isso resulta em interrupções no site ou tempos de carregamento lentos.

Os ataques de inundação de DNS podem ser realizados de várias maneiras, mas uma das ameaças mais comuns é um botnet da Internet das coisas (IoT). Essas coleções de dispositivos de IoT comprometidos podem ser usadas para enviar grandes quantidades de tráfego para um resolvedor de DNS, deixando-o off-line se não houver defesas anti-DDoS adequadas.

Impactos de um ataque de DNS Flood

Aqui estão os impactos mais comuns de um ataque de inundação de DNS:

Impact Descrição
Interrupções no site Os sites servidos pelo servidor DNS visado ficam inacessíveis. Os usuários encontram mensagens de erro ou páginas em branco.
Tempos de carregamento lentos Uma enxurrada de solicitações falsas sobrecarrega os servidores, atrasando o processamento de solicitações legítimas e causando lentidão no carregamento do site.
Serviços on-line interrompidos Interrompe os serviços on-line (e-mail, banco on-line) que dependem do servidor DNS visado.
Perda de produtividade e receita As interrupções no site e os tempos de carregamento lentos podem levar à perda de produtividade e de receita para as empresas.
Danos à reputação Os ataques podem prejudicar a reputação de uma empresa, afetando a confiança do cliente.

O DNS é um possível ponto único de falha na infraestrutura de rede moderna.

Se uma organização depende de um ou alguns servidores DNS para resolver seu nome de domínio, uma inundação de DNS que derrube esses servidores pode tornar o site inacessível para os usuários, o que pode levar a uma possível perda financeira. O exemplo mais famoso desse tipo de ataque foi um ataque contra a Dyn em 2016, que causou interrupções nos principais sites, incluindo Netflix, PayPal e Twitter.

Mitigação de ataques de DNS Flood

É difícil se proteger contra ataques de inundação de DNS, pois eles têm como alvo servidores que devem ser acessíveis publicamente com spam, mas também com tráfego potencialmente legítimo. Alguns métodos que dificultam a execução desses ataques ou limitam sua eficácia incluem:

  • Provisionamento excessivo de recursos: Normalmente, os ataques de inundação de DNS são projetados para consumir a largura de banda da rede ou a capacidade de computação dos servidores DNS. Embora o superdimensionamento da largura de banda e dos servidores da rede não impeça um ataque, ele aumenta o volume de tráfego que o invasor precisará gerar e manter para atingir seus objetivos.
  • DNS Anycast: A rede anycast envia o tráfego para o mais próximo de vários computadores que usam um endereço IP específico. Com uma rede globalmente distribuída de servidores DNS usando rede anycast, é muito mais difícil para um invasor gerar o volume de tráfego necessário para sobrecarregar toda a infraestrutura de DNS de uma organização.
  • Cache de DNS: o cache de DNS salva cópias dos registros de DNS mais acessados em uma rede de servidores distribuídos. Se uma solicitação de DNS atingir o cache, ela não será encaminhada ao servidor de origem do DNS, reduzindo a carga nesse servidor.
  • Limitação de taxa: Os ataques de inundação de DNS tentam sobrecarregar um servidor DNS com tráfego malicioso. A implementação da limitação de taxa reduz o volume de tráfego que um determinado endereço IP pode enviar ao servidor, o que pode diminuir o impacto de um ataque de inundação de DNS.
  • Bloqueio geográfico: Os botnets de IoT geralmente são distribuídos, portanto, o tráfego de ataque pode vir de toda uma região específica ou de todo o mundo. Se os usuários de um serviço estiverem localizados em uma determinada região, o bloqueio do tráfego de fora dessa região poderá reduzir o volume do tráfego de ataque.

A melhor proteção contra ataques de inundação de DNS é a implantação de soluções de atenuação de DDoS. Esses serviços podem identificar e filtrar o tráfego de inundação de DNS, evitando que um servidor DNS fique sobrecarregado e permitindo que ele atenda a usuários legítimos.

Como a Check Point atenua os ataques de DNS Flood

A proteção da infraestrutura do DNS é essencial para o funcionamento adequado da Internet. Os ataques de inundação de DNS representam um risco significativo para esses sistemas devido à sua capacidade de sobrecarregar os servidores DNS com mais tráfego do que eles podem suportar.

Além disso, a maioria das soluções criadas para atenuar esses ataques apenas reduz sua eficácia, não os bloqueia totalmente. A melhor maneira de se proteger contra inundações de DNS e ataques semelhantes é com uma solução de atenuação de DDoS.

Check Point Quantum DDoS Protector oferece proteção robusta até mesmo contra os maiores ataques, aproveitando o aprendizado de máquina (ML) e a IA para fornecer detecção e prevenção de ataques em tempo real para ataques DDoS de até 800 Gbps. Saiba mais sobre os recursos do Quantum DDoS Protector e como ele pode reduzir a exposição de sua organização a inundações de DNS e outros ataques DDoS com esta folha de dados.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK