Ataque DDOS de amplificación de DNS

CERT reconoce esto como una vulnerabilidad en DNS . Tal como están, hay alrededor de 27 millones de servidores DNS mal configurados (¡lea: ¡Predeterminado!) que se pueden usar en este ataque.

Lo ideal es que desees evitar que estos paquetes UDP lleguen a su destino filtrándolos en el enrutador de borde (que es tu proveedor). Lamentablemente no hay muchos proveedores que ofrezcan este servicio. Cloudflare utiliza este método para ayudar a mitigar este ataque.

Otro método es usar Equilibrio de carga basado en IP de GEO . Esta es la magia detrás de muchos CDN en eso, DNS resuelve el servidor más cercano a usted. En un ataque DoS, esto ayuda a distribuir la carga y aísla las interrupciones en una (s) región (es) específica (s). También hay algo de elegancia en el uso de DNS para ayudar a prevenir los ataques de amplificación de DNS.

Finalmente, los servidores utilizados para la amplificación de DNS se configurarán correctamente. Pero es probable que esta solución esté a más de 10 años de llegar a buen término.

Para la mayoría de las personas, usar un servicio como cloudflare o akamai es la mejor solución.

En el pasado, he implementado técnicas de enrutamiento / filtrado de orificios negros de activación remota en los enrutadores orientados a Internet de borde. Esta técnica ha demostrado ser efectiva, se puede implementar en función del tráfico de origen o de destino, aquí hay un enlace para que pueda consultar si desea seguir investigando. Fácil de implementar y rentable.

enlace

La lista de pasos de mitigación para la amplificación de DNS tomada directamente del extracto en el artículo Amplificación de DNS y DNSSEC .

  

No coloque resolutores de DNS abiertos en Internet. La limitación de los clientes que pueden acceder al sistema de resolución reduce en gran medida la capacidad de un atacante para usarlo de manera malintencionada. Esto se puede lograr utilizando reglas de firewall, listas de acceso IP del enrutador u otros métodos.

     

Evite la falsificación de direcciones IP mediante la configuración del Reenvío de ruta inversa de unidifusión (URPF) en los enrutadores de red. Un enrutador configurado para usar URPF (definido en RFC3074) limita la capacidad de un atacante para falsificar paquetes al comparar la dirección de origen del paquete con sus tablas de enrutamiento internas para determinar si la dirección es plausible. Si no, el paquete se desecha.

     

Implementar un dispositivo de sistema de prevención de intrusiones (IPS) o monitorear el tráfico DNSSEC de alguna manera. Un gran número de paquetes salientes con la misma dirección de destino, especialmente cuyo conteo aumenta repentinamente, es un buen indicador de un ataque activo. El despliegue de filtros para eliminar, limitar o retrasar los paquetes sospechosos entrantes debería disminuir el impacto del ataque en la red local y el objetivo del ataque. Como se mencionó anteriormente, los servidores DNS de Windows eliminan los paquetes de respuesta no coincidentes y los registran en los contadores de rendimiento y estadísticas. Es importante monitorear regularmente estos contadores.