¿Qué es un ataque DDoS al DNS?

Un ataque distribuido de denegación de servicio (DDoS) es un intento de emplear una red de equipos distribuidos para saturar los recursos computacionales de un objetivo hasta que deje de funcionar o no sea eficiente. El DNS (sistema de nombres de dominio) es un objetivo común de los ataques DDoS, ya que los servicios críticos de un sitio web o una aplicación dependen de que los nombres se traduzcan a direcciones IP sin interrupción. Este tipo de tráfico malicioso puede resultar difícil de mitigar sin interrumpir las consultas legítimas, dado que los servidores de nombres DNS a menudo solo tienen visibilidad de la dirección IP de los agentes de resolución (un intermediario responsable de resolver continuamente consultas recursivas de un grupo potencialmente grande de usuarios). Como resultado, es probable que el bloqueo o la limitación de velocidad del tráfico basados en esta dirección produzca falsos positivos. Además, los ataques volumétricos al DNS pueden ser difíciles de aislar correctamente para los centros de barrido de capa 3, debido a que las consultas de DDoS al DNS suelen anunciar tasas de bps (bits por segundo) o pps (paquetes por segundo) relativamente bajas en comparación con el tráfico global.

Existen diversos ataques DDoS al DNS diferentes, pero la mayoría se puede clasificar en dos grupos: Inundación de DNS y amplificación de DNS.

Los ataques por inundación de DNS intentan agotar los recursos de un servidor de nombres DNS mediante el envío de una cantidad abrumadora de consultas. Los atacantes sofisticados utilizarán botnets distribuidos para ocultar el ataque mediante el uso de diversos agentes de resolución recursivos como origen del tráfico malicioso.

Una técnica de inundación de DNS común es un ataque NXDOMAIN, también conocido como subdominio pseudoaleatorio (PRSD), por el cual los agentes maliciosos desencadenan un número excesivo de solicitudes para dominios inexistentes (por ejemplo, doesnotexist.example.com) con el fin de consumir los recursos de un servidor de nombres autoritativo mientras agotan el grupo de caché de un agente de resolución recursiva. De ese modo, un ataque de inundación de DNS con éxito puede aumentar los tiempos de resolución de DNS para las consultas legítimas o incluso llevar a cabo un ataque DoS directo.

En lugar de dirigirse al servidor de nombres que responde a una consulta maliciosa, un ataque por amplificación de DNS intenta paralizar los recursos de otro equipo enviando un número considerable de solicitudes DNS a una dirección IP de origen falsa. El ataque es similar a enviar a alguien una carta por correo con una dirección de devolución inventada y solicitar una respuesta. Como resultado, los mensajes DNS se dirigirán a un tercero desprevenido que nunca solicitó los datos en primer lugar. Los atacantes suelen enviar una solicitud de tanta información de zona como sea posible para maximizar el efecto de amplificación con la esperanza de saturar a la víctima, que tiene un ancho de banda entrante ineficaz.

Los agentes maliciosos suelen optar por explotar el DNS para este tipo de ataque de "reflexión", que ofrece más munición de ataque que HTTP. Las conexiones HTTP requieren un protocolo de negociación TCP y, por lo tanto, la mayor respuesta que se enviará al destino serán los paquetes SYN-ACK TCP, que incluyen una cantidad relativamente pequeña de datos. Sin embargo, los mensajes DNS se transportan normalmente por UDP, un protocolo sin conexión, por lo que los mensajes más grandes se pueden enviar a cualquier destino sin una confirmación previa.

Aunque es difícil detectar y mitigar los ataques DDoS al DNS sin interrumpir a los usuarios legítimos, se recomiendan varias técnicas para mejorar las soluciones de protección:

• Una red DNS Anycast distribuida geográficamente amplía el área de superficie para absorber los ataques a gran escala.
• El aumento de los TTL de registro puede contribuir a reducir las consultas legítimas e ilegítimas que llegan a los servidores de nombres autoritativos, lo cual puede ahorrar ancho de banda del servidor de nombres. 
• Al deshabilitar las solicitudes ANY de DNS, la respuesta DNS más amplia posible, se evita que los ataques aprovechen este tipo de registro para aumentar los ataques de amplificación. 
• Aunque puede resultar difícil bloquear las consultas DNS sin interrumpir las solicitudes legítimas, muchos servidores DNS tienen la capacidad de retrasar las respuestas para ahorrar ancho de banda si un determinado agente de resolución envía una cantidad excesiva de tráfico. Los servidores más sofisticados pueden incorporar una lógica de limitación de velocidad matizada, como la creación de una cola para las solicitudes de un agente de resolución o un cliente específico responsable de un pico en las respuestas NXDOMAIN. 

Akamai Edge DNS es una solución de DNS basada en la nube que se encuentra en una posición única para defenderse de los ataques DDoS de mayor envergadura. Con más de 300 puntos de presencia (PoP), el tráfico de clientes estándar suele consumir menos del 1 % de la capacidad total del servidor de nombres, lo que deja a los agentes maliciosos pocas oportunidades de administrar con éxito ataques volumétricos distribuidos. Además, Edge DNS se basa en una red Anycast de alta resiliencia, por lo que BGP enruta las consultas sin problemas al PoP topológicamente más cercano y, en el caso poco frecuente de que un nodo o región esté inactivo, el tráfico se dirigirá a un servidor de nombres óptimo a través de los mecanismos de conmutación por error integrados de la plataforma. Junto con las sofisticadas capacidades de limitación de frecuencia, estas características únicas y resistentes garantizan que Edge DNS pueda garantizar un acuerdo de nivel de servicio (SLA) de tiempo de actividad del 100 %.