Los principales tipos de ataques DNS y cómo prevenirlos

22
Los principales tipos de ataques DNS y cómo prevenirlos

Una de las razones por las que los servicios DNS tienen una cierta susceptibilidad a los ataques es el protocolo de la capa de transporte UDP. Recordemos que es un protocolo de transmisión. sin conexión. Esto último significa que no está orientado a la conexión, al protocolo UDP no le importa que los datos lleguen a su destino por completo, también continuará transmitiendo todo lo que está en cola. Digamos que los paquetes de datos están solos, pueden llegar a su destino con éxito o pueden sufrir algunos inconvenientes en el medio. Veamos el siguiente esquema para una mejor comprensión:

  • La primera mitad de la imagen nos muestra cómo funciona otro protocolo popular que está orientado a la conexión: TCP. No acepta paquetes de datos dañados o de integridad. Sí o sí, deben enviarse nuevamente para que llegue a su destino al 100%.
  • La otra mitad se refiere a UDP. Como mencionamos, no está orientado a la conexión. El destino recibirá los paquetes de datos independientemente de si están en problemas o no.

Piense en los servicios de transmisión. Ellos, en ciertos momentos, se detienen y luego reanudan la transmisión. O la imagen sale algo pixelada o escuchas la famosa “voz robótica” del hablante. Aunque todo eso puede suceder, la transmisión no se detiene por sí sola. Por supuesto, hay excepciones como la falta de conectividad a Internet o que la persona se quede sin batería o energía.

Le recomendamos que lea nuestro tutorial sobre TCP vs UDP, características y usos de los dos protocolos de capa de transporte.

Los ataques DNS más poderosos

Ataques de DNS basados ​​en botnet

Tenga en cuenta que con una pequeña botnet, hay múltiples posibilidades de ataques. Sin mencionar si tiene más de uno y, a su vez, cada uno de ellos tiene miles de computadoras. zombies. Básicamente, el ataque basado en estas redes de computadoras conectadas e infectadas consiste en ejecutar DDoS.

Una sola botnet sería lo suficientemente grande como para que un servidor DNS normal sea inútil. Simplemente, cada zombie debe estar “programado” para enviar múltiples solicitudes de acceso a un recurso web reconocido por ese servidor DNS. Luego, dicho servidor estará saturado por tantas solicitudes, no puede responderlas y, por lo tanto, deja de funcionar.

En RedesZone, tenemos una lista extremadamente interesante de mapas de amenazas y ciberataques. En ese artículo, puede ver que algunos de ellos ilustran el comportamiento de las botnets al ejecutar un ataque. Los ataques basados ​​en botnets se pueden prevenir aplicando algunas acciones que, a largo plazo, evitarán una o más eventualidades:

  • Compruebe si sus dispositivos en red tienen vulnerabilidades.
  • ¿Tiene dispositivos IoT en su red? Revise la configuración de seguridad lo antes posible.
  • ¿Hay amenazas de ataque DNS? Las soluciones de seguridad IDS / IPS son esenciales para identificarlas y actuar en consecuencia.

Ataques de inundación de DNS

El propósito de este ataque es llevar la capacidad del servidor DNS al límite. Hasta el punto en que ya no pueda recibir ninguna solicitud. Veamos un pequeño esquema a continuación:

Un cibercriminal puede infectar una o más computadoras en una red creando una red de zombies. Como puede ver, este es uno de los ataques que se pueden ejecutar a través de una botnet. Todas las computadoras infectadas comienzan a enviar múltiples solicitudes de DNS para que coincidan con los nombres de dominio y las direcciones IP.

Llega a una instancia donde hay tantas solicitudes y deja de estar operativo. En consecuencia, cualquier usuario legítimo que realiza una solicitud de DNS y pasa por el servidor afectado, simplemente no puede obtener el resultado esperado: acceder a un recurso web. Esta es una de las circunstancias por las cuales un usuario no tendría acceso a una o más páginas en Internet.

Como administrador del servidor web, un buen escudo protector podría estar implementando soluciones Red de entrega de contenidos o CDN. No solo se encargan de acelerar la carga de las páginas web, sino que también las protegen de posibles amenazas. Algunos de ellos pueden ser solicitudes de DNS de bots, zombis de botnet o cualquier usuario que tenga intenciones de ejecutar ataques de inundación de DNS, por ejemplo.

Caché de envenenamiento

Este ataque es una de las formas más efectivas para que los usuarios sean víctimas de ataques de phishing. Bueno, los usuarios, sabiendo que están ingresando a un sitio web legítimo, en realidad están accediendo a uno que tiene la tarea de recopilar todos sus datos. Especialmente credenciales de acceso y datos bancarios.

Supongamos que desea ingresar al sitio web de su banco y, sin prestar demasiada atención, ve que efectivamente ha accedido a la página oficial. Aparentemente, todo se ve igual y no hay nada de qué preocuparse. Sin embargo, ingresa sus datos de acceso y en un momento determinado, se da cuenta de que algo está mal.

Pero cual es el caché en DNS? Es un proceso en el que participa un servidor DNS resolver. Su función es almacenar las respuestas de las solicitudes de DNS durante un tiempo determinado. Esto es para responder a todas las solicitudes de DNS mucho más rápidamente, sin pasar por todo el proceso de resolución de nombres de dominio.

Desafortunadamente, un cibercriminal puede obtener el control del DNS resolviendo y alterando las respuestas a todas las solicitudes de DNS almacenadas. Por ejemplo, si el sitio originalmente www.ejemplo.com está asociado con IP 192.0.0.16, el cibercriminal puede alterar esta respuesta al asociar el dominio con una IP maliciosa: 192.0.0.17. Veamos a continuación un esquema que ilustra lo que hemos mencionado:

Sin darse cuenta, el usuario accede a un sitio malicioso a pesar de haber ingresado a un dominio legítimo. Como administrador de servicios web, debe implementar lo siguiente:

  • Restringir consultas recursivas (solicitudes).
  • Almacenar registros DNS solo asociados con nombres de dominio.
  • Limite las respuestas de solicitud de DNS a la información realmente asociada con el dominio.

DrDoS (ataque de denegación de servicio distribuido reflexivo)

Esta es otra evidencia de que los ataques DDoS pueden alcanzar grandes escalas. Los servidores que actúan como reflectores en esta variante de DDoS podrían pertenecer a diferentes redes. La ventaja para el atacante es que se vuelve muy difícil rastrear el esquema de ataque.

En consecuencia, múltiples redes pueden participar en un Ataque DrDoS. Si tengo tres servidores reflectores que pertenecen a tres redes diferentes, el cibercriminal podría tomar el control de esas tres redes para que todos los dispositivos conectados participen en el ataque.

Pasemos esto al contexto DNS. Si hay varios dispositivos conectados desde varias redes y, a su vez, todas estas redes tienen servidores reflectantes, este último no se verá afectado por la gran cantidad de solicitudes de DNS que pasan a través de ellas. Precisamente, esta característica de los reflectores los hace redirigir directamente esa gran cantidad de solicitudes al servidor DNS de la víctima.

El servidor afectado recibirá tantas solicitudes ilegítimas, junto con otras legítimas. A medida que su capacidad haya alcanzado su límite, comenzará a descartar paquetes, incluidos los que corresponden a solicitudes legítimas. Por lo tanto, deja de responder.

¿Qué hacer para evitar un ataque a tan gran escala? Se aplican todas las medidas preventivas sugeridas hasta ahora. Sin embargo, si la infraestructura de red que administra es grande, vale la pena considerar lo siguiente:

  • Se deben ubicar varios servidores en más de un centro de datos.
  • Los centros de datos deben pertenecer a diferentes segmentos de red.
  • Asegúrese de que los centros de datos tengan múltiples rutas.
  • Tener poca o casi ninguna cantidad de agujeros de seguridad.

Impacto de los ataques DNS

Los ataques de DNS hacen un gran daño a las diversas organizaciones que son víctimas de ellos. Las sumas de dinero que son el resultado de pérdidas alcanzan fácilmente millones de dólares. Lo más preocupante es que los ataques de DNS tienden a ser cada vez más sofisticados y específicos en relación con modus operandi.

Escriba amenazas Persona enterada Son el orden del día. Las organizaciones, si bien parecen ser menos susceptibles a los ataques de DNS, deben proteger su infraestructura de personas internas utilizando herramientas de Inteligencia de amenazas que, afortunadamente, tienen una amplia oferta. Por otro lado, las herramientas de seguridad para administrar servicios web también tienen muchas opciones.

Los ataques de DNS, aunque se han llevado a cabo durante muchos años, no dejan de crecer en términos de la cantidad de eventos que ocurren cada año. Aunque es probable que su organización nunca sea víctima de ninguno de los ataques mencionados, proteger la infraestructura de red no es una opción.

Dejar respuesta

Please enter your comment!
Please enter your name here