El mayor ataque DDoS de la historia de Internet ocurrió hace dos semanas. Evitar que se repita

DNS

 

 

 

 

 

 

DNS

Las medidas a tomar son simples, aunque muchas veces ignoradas

El 22 de marzo pasado se produjo el mayor ataque DDoS (Distributed Denial of Service) en la historia de Internet. El objetivo del ataque fue CloudFare, el host de SpamHaus.org, la organización que se dedica a combatir el spam. Un frecuente problema de configuración de servidores DNS fue el centro del masivo ataque.

En principio, se detectó un ataque de 120 Gbps en la periferia de la red, pero luego los atacantes cambiaron la estrategia y apuntaron a los proveedores de CloudFare con un masivo ataque de 300 Gbps. El volumen del tráfico de ataque, tanto en la red de CloudFare como en su upstream, fue demoledor.

Este tipo de ataque se basa en lo que se conoce como DNS Amplification Attack. El columnista de Datamation, Michael Kerner, comentó las medidas que el gobierno de los EE.UU. tomó a través de su organización US-CERT. La organización advierte sobre los riesgos asociados con los ataques DNS Amplification y ofrece alguna guía sobre cómo puede ser mitigado un evento de esa naturaleza.

Los servidores DNS representan la infraestructura central en Internet ya que dirigen el tráfico hacia la correcta ubicación de direcciones IP. En una ataque DNS Amplification, el atacante aprovecha una mala configuración de un servidor DNS para inundarlo con tráfico de respuesta DNS y así crear una condición DDoS.

El punto débil de la cadena DNS es un servidor DNS recursivo abierto. La causa raíz es que el servidor DNS no está configurado para responder solamente a consultas locales y entonces está abierto a consultas (queries) desde cualquier sistema.

“La técnica básica de ataque consiste en enviar requerimientos de búsqueda de nombre DNS a un servidor DNS recursivo abierto usando una dirección fuente que falsifica a la de la víctima. Cuando el servidor DNS envía la respuesta DNS record, la manda a la víctima. Como el tamaño de la respuesta es considerablemente mayor que el del requerimiento, el atacante amplifica el volumen de tráfico dirigido a su objetivo,” explica el comunicado de US-CERT.

Los atacantes pueden intensificar aún más el ataque DNS Amplification si tienen un botnet que lance todavía más requerimientos DNS, lo que aumenta el tamaño del ataque DDoS.

Matthew Prince, CEO de CloudFlare, está entre quiénes han estado trabajando en la divulgación de los riesgos de DNSs recursivos abiertos. “A diferencia de los tradicionales botnets, que pueden generar un tráfico limitado porque corren en PCs hogareñas, los conocidos como open resolvers corren sobre grandes servidores con gran ancho de banda. Son como bazookas y lo ocurrido demuestra la magnitud del daño que pueden causar.”

Detección

La organización Open Resolver Project (openresolverproject.org) ha recogido una lista de 27 millones de resolvers abiertos DNS capaces de responder a consultas. En su estimado, 25 millones de esos resolvers representan un riesgo para Internet.

Los administradores de IT pueden utilizar el sitio OpenResolver para revisar su espacio IP y verificar si existe algún resolver recursivo abierto que el proyecto haya indexado públicamente. Una herramienta similar está disponible en The Measurement Factory con su Open Resolver Test (http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl/). DNSinspect (http://www.dnsinspect.com)  también dispone de una herramienta online para que los administradores puedan chequear servidores DNS mal configurados.

Mitigación

El primer paso es configurar correctamente los servidores DNS.  US-CERT recomienda:” La primer medida para mitigar esta clase de riesgo consiste en configurar adecuadamente los servidores DNS recursivos. Muchos servidores DNS han sido creados para ser utilizados por un solo dominio y que por lo tanto no deberían admitir ninguna clase de recursión.”

Para servidores DNS que hayan sido desplegados dentro de una organización o ISP (Internet Service Provider) para soportar consultas de nombres en representación de sus clientes, el resolver debería ser configurado para que admita solamente consultas en nombre de clientes autorizados. Siempre según US-CERT, esos requerimientos deberían provenir sólo de clientes que estén dentro del alcance de las direcciones de la organización.

Yendo un poco más en profundidad, los ataques DNS Amplification utilizan direcciones IP falsificadas. US-CERT recomienda que los ISPs denieguen todo tráfico con direcciones falsas (spoofed). Esta no es una idea novedosa. El IETF presentó un allá por el 2000 su documento “Best Current Practice” en el que advertía sobre la conveniencia de que los ISPs filtraran el tráfico para direcciones IP falsificadas.