A menos que você tenha sido colado à Internet há algumas semanas atrás, você pode ter perdido a queda maciça que atingiu a costa leste em Out. 21
Muitos websites populares como o Twitter, Reddit, Netflix, Etsy e Spotify estavam inacessíveis a milhares de utilizadores.
Experts declararam desde então que a interrupção foi o resultado de um enorme ataque aos serviços DNS da Dyn, uma empresa de infra-estruturas de Internet.
Concertezas sobre os ataques DNS têm estado na retaguarda de muitos negócios e empresas de TI – mas isso pode estar a mudar.
Empresas como o Google, The New York Times e vários bancos têm sido vítimas de vários ataques DNS nos últimos anos.
Com ataques semelhantes, que tipo de ataques deve ter em atenção?
Ataque #1: Envenenamento DNS e Spoofing
Envenenamento DNS pode, em última análise, encaminhar os usuários para o site errado. Por exemplo, um usuário pode digitar “msn.com” em um navegador web, mas uma página escolhida pelo atacante carrega em vez disso.
Desde que os usuários estejam digitando o nome de domínio correto, eles podem não perceber que o site que eles estão visitando é falso.
Esta é uma oportunidade perfeita para os atacantes usarem técnicas de phishing para extrair informações – seja de credenciais ou informações de cartão de crédito – de vítimas não suspeitas.
O ataque pode ser devastador, dependendo de vários fatores, incluindo a intenção do atacante e o escopo do envenenamento DNS.
Como os atacantes fazem isso? Explorando o sistema de cache DNS.
Caching DNS trickle-down
Caching DNS é usado em toda a Web para acelerar os tempos de carga e reduzir o esforço nos servidores DNS. Em resumo, quando um sistema consulta um servidor DNS e recebe uma resposta, ele salva as informações em um cache local para uma referência mais rápida.
Esta abordagem é usada em toda a Web de uma forma trickle-down. Os registros em um servidor DNS são usados para fazer o cache de registros em outro servidor DNS. Esse servidor é usado para fazer o cache de registros DNS em sistemas de rede, como roteadores. Esses registros são usados para criar caches em máquinas locais.
Caches de DNS pooling
Envenenamento DNS ocorre quando um desses caches é comprometido.
Por exemplo, se o cache em um roteador de rede for comprometido, então qualquer um que o usar pode ser mal direcionado para um site fraudulento. Os registros DNS falsos, em seguida, se arrastam para os caches DNS na máquina de cada usuário.
Isso também pode ocorrer mais alto na chain.
Por exemplo, um servidor DNS importante pode ser comprometido. Isto pode envenenar os caches dos servidores DNS mantidos pelos provedores de serviços de Internet. O veneno pode se infiltrar nos sistemas e dispositivos de rede de seus clientes, potencialmente roteando milhões de pessoas para sites escolhidos por um atacante.
Som louco? Não é. Em 2010, os usuários da Internet em todos os EUA foram bloqueados de sites como Facebook e YouTube porque um servidor DNS de um provedor de alto nível acidentalmente pegou registros do Great Firewall da China.
Antidote for the poison
Envenenamento de cache DNS é muito difícil de detectar. Pode durar até a TTL, ou tempo para viver, expirar nos dados em cache ou um administrador perceber e resolver o problema.
Dependente da duração da TTL, pode levar dias para os servidores resolverem o problema por conta própria.
Os melhores métodos para prevenir um ataque de envenenamento de cache DNS incluem atualização regular do programa, definição de tempos curtos de TTL e limpeza regular dos caches DNS de máquinas locais e sistemas de rede.
Ataque #2: Amplificação DNS para DDoS
Ataques de amplificação DNS não são ameaças contra os sistemas DNS. Ao invés disso, eles exploram a natureza aberta dos serviços DNS para fortalecer a força dos ataques de negação distribuída de serviço (DDoS).
Ataques DDoS não são estranhos aos holofotes, visando sites conhecidos como BBC, Microsoft, Sony e Krebs em Segurança.
Atacar e amplificar
Ataques DDoS tipicamente ocorrem com uma botnet. O atacante usa uma rede de computadores infectados por malware para enviar grandes quantidades de tráfego para um alvo, tal como um servidor. O objetivo é sobrecarregar o alvo e atrasá-lo ou travá-lo.
Ataques de amplificação adicionam mais punch. Ao invés de enviar tráfego diretamente de uma botnet para uma vítima, a botnet envia pedidos para outros sistemas. Esses sistemas respondem enviando volumes ainda maiores de tráfego para a vítima.
Ataques de amplificação de DNS são um exemplo perfeito. Os atacantes usam uma botnet para enviar milhares de pedidos de pesquisa para servidores DNS abertos. As solicitações têm um endereço de origem falsificado e são configuradas para maximizar a quantidade de dados retornados por cada servidor DNS.
O resultado: um atacante envia quantidades relativamente pequenas de tráfego de uma botnet e gera volumes proporcionalmente maiores – ou “amplificados” – de tráfego de servidores DNS. O tráfego amplificado é direcionado para uma vítima, fazendo o sistema falhar.
Defletir e defender
UTM firewalls podem ser configurados para reconhecer e parar ataques DDoS à medida que eles ocorrem, lançando pacotes artificiais tentando inundar os sistemas na rede.
Outra forma de combater ataques DDoS é hospedar a arquitetura do seu cliente em múltiplos servidores. Dessa forma, se um servidor ficar sobrecarregado, outro servidor ainda estará disponível.
Se o ataque for pequeno, os endereços IP que enviam o tráfego podem ser bloqueados. Adicionalmente, um aumento na largura de banda do servidor pode permitir que ele absorva um ataque.
Muitas soluções dedicadas e pagas também existem que são projetadas exclusivamente para combater ataques DDoS.
Ataque #3: Ataque DNS Atacado por DDoS
Ataques DDoS podem ser usados contra muitos tipos diferentes de sistemas. Isto inclui servidores DNS.
Um ataque DDoS bem sucedido contra um servidor DNS pode causar o travamento do mesmo, tornando os usuários que dependem do corte incapazes de navegar na web (nota: os usuários provavelmente ainda serão capazes de alcançar websites que visitaram recentemente, assumindo que o registro DNS seja salvo em um cache local).
Isto é o que aconteceu com os serviços DNS da Dyn, como descrito na abertura deste post. Um ataque DDoS sobrecarregou os sistemas da empresa, causando o travamento dos mesmos, o que impediu milhares de pessoas de acessar os principais websites.
Como se defender contra esses ataques depende do papel de seus sistemas no ambiente.
Por exemplo, você está hospedando um servidor DNS? Nesse caso, há passos que você pode tomar para protegê-lo, como mantê-lo remendado e permitir que apenas máquinas locais o acessem.
Talvez você esteja tentando alcançar o servidor DNS que está sendo atacado? Nesse caso, você provavelmente terá problemas de conexão.
É por isso que é uma boa idéia configurar seus sistemas para confiar em mais de um servidor DNS. Dessa forma, se o servidor primário cair, você terá outro como uma queda para trás.
Recomendamos os servidores DNS públicos gratuitos do Google: 8.8.8.8 e 8.8.4.4. Instruções também estão disponíveis para endereços IPv6.
Prevenir e Mitigar Ataques
Ataques ao servidor DNS são um grande risco para a segurança da rede e devem ser levados a sério. Empresas e empresas de TI precisam ambas implementar salvaguardas para prevenir e reduzir os efeitos de tal ataque caso sejam vítimas de um.
Como resultado de tais ataques, a ICANN começou a enfatizar esses riscos com DNSSEC, uma tecnologia crescente utilizada para prevenir ataques a servidores DNS.
DNSSEC atualmente funciona “assinando” cada pedido DNS com uma assinatura certificada para garantir a autenticidade. Isso ajuda os servidores a eliminar pedidos falsos.
A única desvantagem dessa tecnologia é o fato de que ela tem que ser implementada em todas as etapas do protocolo DNS para funcionar corretamente – o que está ocorrendo lenta mas seguramente.
De olho no desenvolvimento de tecnologias como DNSSEC, bem como manter-se atualizado sobre os últimos ataques DNS é uma boa maneira de ficar à frente da curva.
