Un attacco di amplificazione DNS agisce sfruttando il protocollo DNS (Domain Name System). Tramite questo protocollo, un client invia una query DNS al server per il nome di dominio o l'indirizzo IP richiesto. Il server quindi elabora e risponde con una risposta che contiene record di risorse, utilizzati per individuare host e altre risorse di rete.
Un attacco di amplificazione al DNS è un tipo di attacco DDoS (Distributed Denial-of-Service) in cui il criminale sfrutta i server DNS vulnerabili per inviare grandi volumi di traffico legittimo. L'obiettivo di un attacco di amplificazione al DNS è quello di inondare il sistema preso di mira con una quantità enorme di dati, rendendoli non disponibili per gli utenti legittimi.
Per lanciare un attacco di amplificazione al DNS, i criminali utilizzano messaggi DNS (Domain Name System) pericolosi che vengono inviati da server vulnerabili o configurati in modo errato per generare enormi quantità di traffico. I vantaggi associati a questo tipo di attacco includono un maggiore anonimato poiché l'indirizzo IP di origine può essere falsificato e costi relativamente bassi per l'esecuzione rispetto ad altri attacchi DDoS.
Che cos'è la soluzione DNS?
DNS è l'acronimo di Domain Name System. È un protocollo che fornisce un modo per connettere i nomi di dominio (come ad esempio www.esempio.com) ai rispettivi indirizzi IP associati (come 192.168.1.1). I server DNS fungono da "rubriche telefoniche" di Internet e vengono utilizzati da ogni singolo dispositivo connesso a Internet per accedere a siti web e altri servizi sul web. Ogni nome di dominio è registrato con un provider di servizi Internet (ISP) e il DNS aiuta a instradare il traffico dagli utenti di tutto il mondo verso le pagine web appropriate o altre risorse ospitate sotto quella specifica combinazione di nome di dominio/indirizzo IP.
Prevenzione degli attacchi di amplificazione al DNS e gli attacchi DDoS con Akamai
Akamai offre una protezione DDoS end-to-end che agisce come una prima linea di difesa, fornendo strategie che si avvalgono di un edge dedicato, un DNS distribuito e la mitigazione sul cloud nell'intento di prevenire danni collaterali e single point of failure. I nostri cloud DDoS appositamente progettati offrono una capacità di scrubbing dedicata e una qualità di mitigazione superiore per soddisfare gli specifici requisiti delle applicazioni web o dei servizi basati su Internet.
Uno dei modi migliori per arrestare gli attacchi di amplificazione al DNS o di altro tipo è quello di usare Akamai Prolexic, un servizio di scrubbing su cloud collaudato sul campo che protegge tutti i data center e l'infrastruttura basata su Internet dagli attacchi DDoS su tutte le porte e tutti i protocolli. Con Prolexic, il traffico di rete viene instradato tramite anycast BGP verso gli scrubbing center ad alta capacità distribuiti a livello globale, dove il nostro SOCC (Security Operations Command Center) può implementare controlli proattivi e/o personalizzati di mitigazione progettati per arrestare immediatamente gli attacchi. Instradando il traffico verso lo scrubbing center più vicino, Prolexic può fermare gli attacchi in prossimità dell'origine per massimizzare le prestazioni degli utenti e mantenere la resilienza della rete attraverso la distribuzione su cloud. Una volta completato lo scrubbing, il traffico pulito viene restituito all'origine del cliente tramite connessioni attive logiche o dedicate.
Disponibile come servizio always-on oppure on-demand, Prolexic offre modelli di integrazione flessibili per soddisfare le esigenze di una varietà di sistemi di sicurezza legate alle origini ibride.
Akamai Prolexic consente ai team addetti alla sicurezza di:
- Ridurre il rischio di attacchi DDoS, grazie a controlli di mitigazione proattivi e allo SLA (accordo sul livello di servizio) immediato di Prolexic
- Arresto degli attacchi DDoS di tipo SSL/TLS Exhaustion senza sacrificare la qualità della mitigazione
- Uniformazione delle strategie di sicurezza tramite l'applicazione di policy di mitigazione degli attacchi DDoS in modo coerente in tutta l'organizzazione, a prescindere da dove si trovino le applicazioni
- Ottimizzazione della risposta agli incidenti per garantire la continuità operativa con esercizi di convalida dei servizi, runbook personalizzati e tempestività nella risposta agli attacchi
- Scalabilità delle risorse di sicurezza con una soluzione completamente gestita. disponibile per oltre 225 addetti SOCC dedicati
Domande frequenti (FAQ)
Un attacco di amplificazione è un tipo di attacco informatico in cui il criminale invia una richiesta di grandi dimensioni, ad esempio a un server DNS (Domain Name System) o un ping ICMP (Internet Control Message Protocol), e riceve una risposta di dimensioni estremamente grandi. Questa amplificazione delle richieste può essere utilizzata dall'autore di attacchi per sferrare attacchi DDoS contro reti o servizi mirati. Maggiori sono le dimensioni della risposta ricevuta, maggiore è il traffico che può generare e quindi aumentare il traffico dei server web o di altre risorse di rete prese di mira. Questi tipi di attacchi sono agevolati dalle vulnerabilità nei sistemi informatici che consentono agli utenti malintenzionati di inviare richieste con indirizzi dei mittenti falsificati, amplificando la loro richiesta originale molte volte.
Un attacco di amplificazione è un tipo di attacco informatico in cui il criminale invia una richiesta di grandi dimensioni, ad esempio a un server DNS o un ping ICMP, e riceve una risposta di dimensioni estremamente grandi. Questo amplifica il traffico proveniente dal mittente e può essere da lui utilizzato per sferrare attacchi DDoS contro reti o servizi presi di mira.
Un attacco di riflessione è un altro tipo di attacco DDoS, che comporta lo sfruttamento delle vulnerabilità sui server Internet per inviare richieste con indirizzi dei mittenti falsificati che si riflettono su componenti validi di una rete che ospita il protocollo riflesso. Questo crea più copie di richieste, inondando la rete o il servizio preso di mira di traffico, rendendo difficile per gli utenti legittimi l'accesso alle risorse. Tuttavia, a differenza di un attacco di amplificazione, non comporta alcun aumento delle dimensioni dei dati restituiti; invece, una singola richiesta si riflette su più obiettivi validi, con conseguente aumento del traffico ma nessun effetto di amplificazione.
Uno dei modi migliori per proteggersi dagli attacchi DNS è garantire che le configurazioni del server siano sicure e aggiornate. Potrebbe essere necessario assicurarsi che il supporto delle query ricorsive sia disabilitato sui server pubblici, nonché configurare le regole del firewall per bloccare le richieste in arrivo da origini di attacco note. Inoltre, si consiglia di applicare policy di limitazione della velocità per limitare il numero di richieste consentite da un singolo indirizzo IP o sottorete.
Anche l'implementazione di strumenti di cybersicurezza come un sistema di rilevamento delle intrusioni (IDS) o un sistema di prevenzione delle intrusioni (IPS) può aiutare a rilevare e prevenire gli attacchi di amplificazione DNS. Questi sistemi possono essere configurati per cercare determinate caratteristiche di pacchetti dannosi come query o risposte specifiche con determinati flag impostati che indicano indirizzi di origine falsificati, ecc. Inoltre, molti sistemi IDS/IPS più recenti sono dotati di funzionalità integrate per rilevare e prevenire gli attacchi di amplificazione al DNS.
Per ridurre ulteriormente il rischio di attacchi, è importante mantenere aggiornato il software applicando le patch di sicurezza in modo tempestivo. Poiché i criminali spesso sfruttano le vulnerabilità in software obsoleti, in tal modo potreste ridurre la possibilità di attacchi di amplificazione al DNS riusciti contro la vostra rete. È anche importante monitorare regolarmente il traffico di rete e prestare attenzione a comportamenti sospetti, ad esempio volumi insolitamente elevati di query e risposte provenienti da un'unica origine o un numero elevato di richieste inviate in un breve periodo di tempo.
Perché i clienti scelgono Akamai
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.