Un ataque por amplificación de DNS funciona aprovechando el protocolo del sistema de nombres de dominio (DNS). A través de este protocolo, un cliente envía una consulta DNS al servidor para el nombre de dominio o la dirección IP solicitados. A continuación, el servidor procesa y responde con una respuesta que contiene registros de recursos, que se utilizan para localizar hosts y otros recursos de red.
Un ataque por amplificación de DNS es un tipo de ataque distribuido de denegación de servicio (DDoS) en el que el atacante aprovecha los servidores DNS vulnerables para enviar grandes volúmenes de tráfico legítimo. El objetivo de un ataque por amplificación de DNS es inundar el sistema objeto con una cantidad enorme de datos, lo que hace que no esté disponible para los usuarios legítimos.
Para lanzar un ataque por amplificación de DNS, los atacantes utilizan mensajes del sistema de nombres de dominio (DNS) creados de forma maliciosa que se envían desde servidores vulnerables o mal configurados para generar enormes cantidades de tráfico. Entre las ventajas asociadas a este tipo de ataque encontramos un mayor anonimato, ya que la dirección IP de origen se puede falsificar, y unos costes de ejecución relativamente bajos en comparación con otros ataques DDoS.
¿Qué es el DNS?
DNS significa "Domain Name System" (sistema de nombres de dominio). Es un protocolo que proporciona una forma de conectar nombres de dominio (como www.ejemplo.com) con las direcciones IP asociadas (como 192.168.1.1). Los servidores DNS actúan como "guías telefónicas" de Internet y todos los dispositivos conectado a Internet los utilizan para acceder a sitios web y a otros servicios web. Todos los nombres de dominio están registrados en un proveedor de servicios de Internet (ISP) y el DNS ayuda a enrutar el tráfico de usuarios de todo el mundo a las páginas web adecuadas o a otros recursos alojados en esa combinación específica de nombre de dominio/dirección IP.
Evitar ataques por amplificación de DNS y ataques DDoS con Akamai
Akamai ofrece protección contra DDoS de extremo a extremo que actúa como primera línea de defensa y ofrece estrategias especializadas de mitigación en la nube, de DNS distribuido y en el borde de Internet para evitar daños colaterales y puntos únicos de fallo. Nuestras nubes contra los DDoS están diseñadas específicamente y ofrecen una capacidad de barrido dedicada y una mayor calidad de mitigación, que pueden ajustarse a los requisitos específicos de las aplicaciones web o los servicios basados en Internet.
Una de las formas más eficaces de detener ataques por amplificación de DNS y otros DDoS es con Prolexic de Akamai, un servicio de barrido en la nube probado que protege los centros de datos completos y la infraestructura orientada a Internet de los ataques DDoS en todos los puertos y protocolos. Con Prolexic, el tráfico se enruta por anycast usando BGP a través de centros de barrido de alta capacidad distribuidos por todo el mundo, donde nuestro centro de control de operaciones de seguridad (SOCC) puede implementar controles de mitigación proactivos o personalizados para detener ataques al instante. Al enrutar el tráfico al centro de barrido más cercano, Prolexic puede detener los ataques más cerca del origen y, de este modo, maximizar el rendimiento para los usuarios y mantener la resiliencia de la red a través de la distribución en la nube. Una vez finalizado el barrido, el tráfico limpio se devuelve al origen del cliente a través de conexiones activas lógicas o dedicadas.
Disponible como servicio siempre activo o a la carta, Prolexic ofrece modelos flexibles de integración para satisfacer las diversas exigencias de seguridad asociadas a los orígenes híbridos.
Con Akamai Prolexic, sus equipos de seguridad pueden:
- Reducir el riesgo de ataques DDoS gracias a los controles de mitigación proactivos y el acuerdo de nivel de servicio (SLA) de cero segundos de Prolexic.
- Detener los ataques DDoS de agotamiento de SSL/TLS de gran complejidad sin sacrificar la calidad de la mitigación.
- Unificar las posturas de seguridad mediante la aplicación coherente de políticas de mitigación de DDoS en toda su organización, independientemente de dónde se alojen las aplicaciones.
- Optimizar la respuesta a incidentes para garantizar la continuidad del negocio con ejercicios de validación de servicios, runbooks personalizados y simulacros de preparación operativa.
- Ampliar los recursos de seguridad con nuestra solución totalmente gestionada, respaldada por más de 225 profesionales de primera línea del Centro de Control de Operaciones de Seguridad (SOCC).
Preguntas frecuentes
Un ataque por amplificación es un tipo de ciberataque en el que el atacante envía una solicitud de gran tamaño, por ejemplo a un servidor de sistema de nombres de dominio (DNS) o a un ping de protocolo de control de mensajes de Internet (ICMP) y recibe una respuesta extremadamente grande. El atacante puede utilizar esta amplificación de solicitudes para lanzar ataques DDoS contra las redes o los servicios objeto. Cuanto mayor sea la respuesta, mayor será el tráfico que puede generar y, por lo tanto, ejerce una presión adicional sobre los servidores web u otros recursos de red objeto del ataque. Estos tipos de ataques se ven facilitados por vulnerabilidades en los sistemas informáticos que permiten a los agentes maliciosos enviar solicitudes con direcciones de remitente falsificadas, lo que amplifica su solicitud original muchas veces.
Un ataque por amplificación es un tipo de ciberataque en el que el atacante envía una solicitud de gran tamaño, por ejemplo a un servidor de sistema de nombres de dominio (DNS) o a un ping de ICMP y recibe una respuesta extremadamente grande. Este método amplifica el tráfico del remitente y puede utilizarse para lanzar ataques DDoS contra las redes o los servicios objeto del ataque.
Un ataque de reflexión es otro tipo de ataque DDoS, que implica aprovechar las vulnerabilidades de los servidores de Internet para enviar solicitudes con direcciones de remitente falsificadas que reflejan componentes válidos de una red que aloja el protocolo que se refleja. Esta táctica crea varias copias de las solicitudes, inundando la red o el servicio de destino de tráfico, lo que dificulta el acceso de los usuarios legítimos a los recursos. Sin embargo, a diferencia de un ataque por amplificación, en este caso no hay aumento en el tamaño de los datos enviados. En lugar de eso, una única solicitud refleja varios objetivos válidos, lo que da lugar a más tráfico, pero sin efecto de amplificación.
Una de las mejores formas de protegerse contra los ataques DNS es asegurarse de que las configuraciones del servidor sean seguras y están actualizadas. Dichas configuraciones pueden consistir, entre otras cosas, en asegurarse de que la asistencia de consultas recursivas esté desactivada en los servidores públicos, así como en configurar reglas de cortafuegos para bloquear las solicitudes entrantes procedentes de fuentes conocidas de ataques. Además, se recomienda aplicar directivas de limitación de velocidad para limitar el número de solicitudes permitidas desde una sola dirección IP o subred.
La implementación de herramientas de ciberseguridad, tales como un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS), también puede ayudar a detectar y prevenir ataques por amplificación de DNS. Estos sistemas se pueden configurar para buscar determinadas características de paquetes maliciosos, tales como consultas o respuestas específicas con determinados indicadores configurados que indican direcciones de origen falsificadas, etc. Además, muchos sistemas IDS/IPS más recientes incluyen funciones integradas para detectar y prevenir ataques de amplificación de DNS.
Para reducir aún más el riesgo de ataques, es importante mantener el software actualizado aplicando parches de seguridad de forma oportuna. Dado que los atacantes suelen aprovechar las vulnerabilidades del software obsoleto, esta puede ser una medida eficaz para reducir la posibilidad de ataques por amplificación de DNS con éxito contra la red. También es importante supervisar el tráfico de red de forma regular y detectar comportamientos sospechosos, tales como cantidades inusualmente grandes de consultas y respuestas procedentes de un único origen o un gran número de solicitudes enviadas en un breve periodo de tiempo.
Por qué los clientes eligen Akamai
Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.