DNSSEC é a extensão de protocolo responsável pela autenticação de respostas e pela prevenção de ataques de envenenamento de DNS. No entanto, o DNSSEC não protege contra DDoS. Na verdade, as zonas protegidas por DNSSEC geralmente são alvos de ataques de amplificação de DNS, pois os invasores reconhecem que as respostas assinadas são maiores que as mensagens DNS padrão, pois incluem tipos de registro adicionais (NSEC, RRSIG).
DNS e DDoS
Um ataque DDoS (negação de serviço distribuída) é uma tentativa de empregar uma rede de máquinas distribuídas para sobrecarregar os recursos computacionais de um alvo até que ele não esteja mais funcional ou com desempenho. O DNS (Sistema de Nomes de Domínio) é um alvo comum para ataques DDoS, uma vez que os serviços críticos de um website ou de uma aplicação dependem da conversão de nomes para endereços IP sem interrupção. Esse tipo de tráfego mal-intencionado pode ser difícil de mitigar sem interromper consultas legítimas, já que os nameservers DNS geralmente têm visibilidade apenas do endereço IP do resolvedor, um intermediário responsável por resolver continuamente consultas recursivas de um pool potencialmente grande de usuários. Como resultado, o bloqueio ou a limitação de taxa de tráfego com base nesse endereço provavelmente resultará em falsos positivos. Além disso, os ataques volumétricos ao DNS podem ser difíceis para os centros de depuração da Camada 3 isolarem com sucesso, já que as consultas de DDoS ao DNS geralmente anunciam taxas relativamente baixas de bps (bits por segundo) ou pps (pacotes por segundo) em comparação com o tráfego geral.
Há uma variedade de ataques DDoS ao DNS diferentes, mas a maioria pode ser classificada em dois grupos: Inundação de DNS e amplificação de DNS.
O que são ataques de inundação de DNS?
Os ataques de inundação de DNS tentam esgotar os recursos de um nameserver DNS enviando um número impressionante de consultas. Invasores sofisticados aproveitarão botnets distribuídos para ofuscar o ataque ao obter o tráfego mal-intencionado de uma variedade de resolvedores recursivos.
Uma técnica comum de inundação de DNS é um ataque ao NXDOMAIN, também conhecido como Pseudo Random Subdomain (PRSD), em que agentes mal-intencionados acionarão solicitações excessivas de domínios inexistentes (por exemplo, naoexiste.exemplo.com) para consumir recursos de um servidor de nomes autoritativo enquanto exaurem o pool de cache de um resolvedor recursivo. Um ataque de inundação de DNS bem-sucedido pode, assim, aumentar os tempos de resolução de DNS para consultas legítimas ou até mesmo atingir um DoS por completo.
O que é um ataque de amplificação de DNS?
Em vez de direcionar o nameserver respondendo a uma consulta mal-intencionada, um ataque de amplificação de DNS tenta prejudicar os recursos de outra máquina enviando um número substancial de solicitações de DNS para um endereço IP de origem falso. O ataque é semelhante a enviar uma carta pelo correio a alguém com um endereço de devolução falso e solicitar uma resposta. Como resultado, as mensagens DNS são direcionadas a um terceiro inocente que nunca solicitou os dados em primeiro lugar. Os invasores normalmente enviarão uma solicitação para o máximo possível de informações de zona para maximizar o efeito de amplificação com a esperança de sobrecarregar a vítima com uma largura de banda inutilizável.
Agentes mal-intencionados geralmente optam por explorar o DNS para esse tipo de ataque de "reflexão", pois ele oferece mais munição de ataque do que HTTP. As conexões HTTP exigem um handshake TCP e, portanto, a maior resposta que será enviada ao destino será de pacotes TCP SYN-ACK, que incluem uma quantidade relativamente pequena de dados. No entanto, as mensagens DNS são normalmente transportadas pelo UDP, um protocolo sem conexão, de modo que mensagens maiores podem ser enviadas para qualquer destino sem conhecimento prévio.
Quais são os métodos comuns para ajudar a proteger contra ataques DDoS ao DNS?
Embora seja difícil detectar e mitigar ataques DDoS ao DNS sem interromper usuários legítimos, há várias técnicas recomendadas para melhorar as proteções:
- Uma rede DNS anycast distribuída geograficamente expande a área de superfície para absorver ataques de grande escala.
- O aumento de TTLs de registro pode ajudar a reduzir consultas legítimas e ilegítimas que alcançam nameservers autorizados, o que pode economizar a largura de banda do nameserver.
- A desabilitação de solicitações ANY de DNS, a maior resposta possível de DNS, impede que ataques explorem esse tipo de registro para aumentar os ataques de amplificação.
- Embora possa ser difícil bloquear consultas de DNS sem interromper solicitações legítimas, muitos servidores de DNS têm a capacidade de atrasar respostas para economizar largura de banda se um determinado resolvedor estiver enviando uma quantidade excessiva de tráfego. Servidores mais sofisticados podem incorporar lógica de limitação de taxa sutil, como solicitações de enfileiramento de um determinado resolvedor ou cliente responsável por um pico nas respostas de NXDOMAIN.
Como a Akamai pode ajudar?
O Akamai Edge DNS é uma solução de DNS baseada em nuvem que está posicionada exclusivamente para se defender contra os maiores ataques DDoS. Com mais de 300 pontos de presença (PoPs), o tráfego padrão do cliente geralmente consome menos de 1% da capacidade total do nameserver, deixando aos agentes mal-intencionados pouca oportunidade de administrar com sucesso ataques volumétricos e distribuídos. Além disso, o Edge DNS é construído em uma rede anycast altamente resiliente, de modo que as consultas são roteadas perfeitamente por BGP para o PoP mais próximo do ponto de vista topográfico e, na rara ocasião em que um nó ou região estiver inativo, o tráfego será direcionado para um nameserver íntegro por meio dos mecanismos de failover integrados da plataforma. Juntamente com recursos sofisticados de limitação de taxa, essas características únicas e resilientes garantem que o Edge DNS possa garantir um SLA de tempo de atividade de 100%.
Perguntas frequentes (FAQ)
Confiar em vários provedores de DNS na nuvem para responder a consultas pode oferecer uma rede de segurança no caso de uma interrupção do provedor, já que os resolvedores normalmente tentarão repetir outro registro de NS se uma tentativa inicial de contatar um nameserver falhar. No entanto, cada provedor pode ter recursos de registro diferentes que, se não forem totalmente considerados, podem levar a inconsistências problemáticas de distribuição, degradações de desempenho ou até mesmo um DoS por completo. Os administradores de DNS devem analisar especificamente as funcionalidades de registro de ALIAS e o suporte a DNSSEC de cada provedor se planejam implementar esses recursos.
Anycast é uma técnica de roteamento e endereçamento de rede que permite que endereços IP sejam anunciados a partir de vários pontos na Internet. Combinada com uma área de DNS distribuída geograficamente, uma implementação de anycast aumenta a área de superfície do servidor para absorver ataques DDoS de grande escala, já que vários nós podem absorver tráfego mal-intencionado distribuído contra um IP individual. O Unicast, que atribui um IP por destino, introduz uma maior probabilidade de um único ponto de falha centralizado para os invasores explorarem. Além disso, é difícil dimensionar uma rede DNS distribuída com uma implementação Unicast, já que muitos registradores têm limites de glue record e atribuir um grande número de saídas de registro A a uma pesquisa de registro de NS introduz desafios operacionais e desvantagens de desempenho. Como resultado, o Anycast oferece uma opção mais escalável e de maior desempenho para implementar uma postura de DNS distribuída e resiliente.
Por que os clientes escolhem a Akamai
A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, proporcionar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de nuvem e edge massivamente distribuída, aproxima os apps e as experiências dos usuários e afasta as ameaças.