Che cosa sono i vettori di attacco al DNS?

I vettori di attacco al DNS sono i metodi utilizzati dai criminali per prendere di mira il DNS (Domain Name System), ossia il protocollo che converte un nome di dominio come esempio.com in un indirizzo IP alfanumerico. Poiché il DNS presenta un'elevata ampiezza di controllo, le interruzioni influiscono su molti servizi contemporaneamente. I vettori di attacco al DNS possono prendere di mira la disponibilità o la stabilità di un servizio DNS o sfruttare il DNS come parte di una strategia di attacco complessiva. I vettori di attacco al DNS più comuni includono il tunneling, il cache poisoning, il rebinding, gli attacchi di amplificazione, gli attacchi flood e lo spoofing DNS. Molti criminali utilizzano il DNS come vettore per sferrare attacchi DoS e DDoS.

Che cos'è il DNS?

Il DNS (Domain Name System) consente agli utenti di accedere più facilmente ai siti web desiderati senza dover memorizzare indirizzi IP lunghi e complicati per ogni sito web. I server DNS associano nomi facili da ricordare per i siti web che gli utenti digitano in un browser web con un indirizzo IP corrispondente (come 2001:db8:3e8:2a3::b63), che consente di caricare il sito web corretto.

Come funziona il DNS?

Quando un utente digita il nome di un dominio come esempio.com in un browser, un resolver DNS cerca l'indirizzo IP numerico che corrisponde al nome del dominio. Questo processo può richiedere più fasi:

Il resolver DNS prima cerca l'indirizzo IP nella sua cache locale.
Se l'indirizzo non è memorizzato nella cache, il resolver DNS può richiedere ad altri server DNS l'indirizzo IP corretto o cercare un server DNS autoritativo in cui è memorizzata una mappatura canonica del nome del dominio al suo indirizzo IP.
Una volta trovato l'indirizzo IP corretto, il resolver lo comunica al browser che l'ha richiesto e lo memorizza nella sua cache locale per un utilizzo futuro.

Perché i vettori di attacco al DNS sono efficaci?

I vettori di attacco al DNS sono efficaci perché il DNS (Domain Name System) non è stato progettato tenendo nella massima considerazione la sicurezza, pertanto eventuali interruzioni possono avere un impatto notevole. I server DNS sono progettati per rispondere in modo accurato ed efficiente alle query piuttosto che per esaminare i loro obiettivi. Di conseguenza, il DNS presenta delle vulnerabilità che lo rendono un bersaglio allettante per gli attacchi informatici. Il DNS è un componente fondamentale di Internet ed è coinvolto nella maggior parte delle comunicazioni. Inoltre, molti strumenti di sicurezza accettano il DNS con poche verifiche, il che lascia adito ad una varietà di attacchi.

Quali sono i quattro tipi di vettori di attacco al DNS?

Attacchi DoS (Denial-of-Service) volumetrici : sovraccaricano un server DNS "inondandolo" con un gran numero di richieste provenienti da una o più fonti, rallentando i tempi di risposta o rendendo il servizio DNS non disponibile.
Exploit : sfruttano le falle o le vulnerabilità presenti nei servizi DNS, nei protocolli DNS o nei sistemi operativi che eseguono i server DNS.
Attacchi DoS di tipo Stealth o Slow Drip : peggiorano o interrompono il servizio DNS inviando una rapida scarica di specifiche richieste DNS in grado di esaurire la capacità dell'elaborazione delle query in corso.
Attacco di abuso dei protocolli : utilizzano il DNS in modi insoliti per consentire ai criminali di esfiltrare i dati desiderati o condurre campagne di phishing.

Quali sono i più comuni vettori di attacco al DNS?

Attacchi zero-day. I criminali sfruttano vulnerabilità in precedenza sconosciute presenti nel software o nei protocolli del server DNS. Poiché queste falle nella sicurezza sono sconosciute, i team addetti alla sicurezza non hanno tempo ("zero days") per preparare gli appropriati sistemi di difesa o le appropriate patch da applicare.
Cache poisoning DNS. Anche noto come spoofing DNS, questo vettore di attacco implica la violazione o il "poisoning" (avvelenamento) di una cache DNS sostituendo un record DNS legittimo con un indirizzo IP di un altro sito web che potrebbe rivelarsi dannoso. Il cache poisoning viene spesso usato per indurre gli utenti a rivelare dati riservati, come le credenziali di accesso o le informazioni sugli account.
DoS (Denial-of-Service). Questo tipo di attacco flood utilizza un computer e una connessione a Internet per "inondare" un server DNS con un grande volume di traffico nell'intento di sovraccaricarlo e di impedirgli di rispondere alle richieste legittime.
DDoS (Distributed-Denial-of-Service). Gli attacchi DDoS al DNS sono un tipo di attacco flood progettato per rendere il server DNS non disponibile sovraccaricandolo con un grande volume di traffico proveniente da molte origini. Gli attacchi DDoS vengono spesso eseguiti da una botnet, ossia una rete di computer o bot infettati da malware, che consente ai criminali di controllarli.
Amplificazione DNS. Gli attacchi di amplificazione sono un tipo di attacco DDoS che si basa sui server DNS aperti e accessibili pubblicamente per "inondare" un sistema preso di mira con un grande volume di traffico creato dalle risposte DNS. Inviando piccole query che generano risposte di grandi dimensioni, i criminali riescono ad amplificare l'impatto del loro attacco contro il bersaglio designato.
Tunneling DNS. Questo vettore di attacco al DNS utilizza il DNS come canale di comunicazione occulto per eludere il rilevamento da parte dei firewall. I criminali informatici possono usare il tunneling DNS per esfiltrare i dati sensibili o per controllare un dispositivo violato all'interno di un ambiente IT protetto.
Hijacking del DNS. Questo attacco reindirizza il traffico rivolto verso un sito web ad una nuova destinazione, in cui i criminali possono avviare attività dannose o creare una copia analoga al sito originale per raccogliere i dati personali sensibili.
Attacco NXDOMAIN. Questo attacco flood "inonda" i server DNS richiedendo record non validi o non esistenti per sovraccaricare i server DNS presi di mira e la sua infrastruttura, che quindi rallentano le loro attività fino a interrompere il loro funzionamento.
Blocco del dominio. Gli hacker stabiliscono connessioni basate sul protocollo TCP forzando i resolver DNS a inviare pacchetti casuali o indesiderati e mantenendoli, quindi, sempre impegnati o "bloccati" al fine di provocare l'esaurimento dei server DNS legittimi e impedire alle richieste legittime di ricevere le risposte desiderate.
Attacchi flood al DNS. Questi vettori di attacco utilizzano il protocollo DNS per sferrare un attacco UDP (User Datagram Protocol) flood. In un attacco flood al DNS, i criminali distribuiscono pacchetti di richieste DNS valide, ma falsificate, ad altissima velocità e da un gran numero di indirizzi IP di origine. Poiché le richieste sembrano valide, i server DNS presi di mira rispondono a tutte le richieste, diventando, alla fine, sovraccarichi ed esaurendo le loro capacità.
Attacco di sottodominio casuale. Anche noto come attacco di sottodominio pseudocasuale, questo tipo di attacco DDoS invia centinaia o migliaia di richieste DNS reali, ma dannose. Poiché le richieste sono legittime con validi domini di livello superiore (ad es., nonesiste.esempio.com), riescono ad evitare molte protezioni dagli attacchi DDoS e vari sistemi di mitigazione automatica utilizzati dai firewall e da altri filtri.

In che modo si possono prevenire gli attacchi al DNS?

I team addetti alla sicurezza e all'IT possono usare una serie di tecniche e best practice di cybersicurezza per prevenire gli attacchi al DNS.

Limitare gli accessi. Limitare l'uso dei resolver DNS solo agli utenti validi può impedire ad utenti esterni di sferrare attacchi di cache poisoning.
Registrare e monitorare le query DNS. Registrando e monitorando le query in entrata e in uscita, i team IT possono rilevare eventuali anomalie e raccogliere informazioni contestuali per eseguire analisi approfondite.
Replicare i dati. Mantenere copie dei dati del DNS in altri server semplifica la sostituzione dei dati che sono stati danneggiati o che si sono persi su un server.
Bloccare le query ridondanti. Questo approccio può aiutare a prevenire gli attacchi di spoofing.
Mantenere i server DNS aggiornati. Le organizzazioni con propri server DNS devono applicare patch e aggiornamenti a questi server per impedire ai criminali di sfruttare eventuali bug e vulnerabilità.
Implementare sistemi di protezione del DNS dedicati. Per le aziende che devono proteggere migliaia di domini, un servizio di sicurezza del DNS di terze parti può risultare la scelta più efficace per rafforzare il workflow del DNS.

Perché i clienti scelgono Akamai

A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.

Prodotti correlati

Edge DNS

Affidatevi a un DNS altamente sicuro per una disponibilità ininterrotta di API e app web.

Scopri di più

Global Traffic Management

Ottimizzate le performance delle app ed evitate le interruzioni con un bilanciamento del carico intelligente.

Ulteriori informazioni

Risorse aggiuntive

Progettazione di un'infrastruttura DNS in grado di garantire disponibilità e resilienza contro gli attacchi DDoS

In che modo Akamai assicura la totale disponibilità? Analizziamo più da vicino il nostro approccio multilivello: architettura, scalabilità e molto altro.

Ulteriori informazioni

Edge DNS: descrizione del prodotto

Edge DNS di Akamai è un servizio DNS (Domain Name System) globale e altamente scalabile, che offre sicurezza DNS, resilienza da eventi DDoS e un'elevata rapidità di risposta DNS.

Ulteriori informazioni