Esse post é para falar sobre um dos tipos de ataque DDoS mais comuns, o de amplificação de DNS. Esse tipo de ataque pode gerar uma boa dose de dor de cabeça.

A indisponibilidade ou intermitência causadas podem ser permanentes, temporárias ou indefinidas e afetam diretamente os links de acesso a internet de sua empresa causando congestionamento em sua rede.

Entenda tudo sobre essa modalidade de ataque DDoS ao longo do post, com tópicos abordando o que são ataques de amplificação, como o DNS é explorado pelo atacante e como se prevenir. É só continuar a leitura!

O que são ataques de amplificação?

Antes de falar sobre o ataque de amplificação via protocolo DNS especificamente, é importante saber que essa modalidade de ataque também pode se utilizar de outros protocolos e não só o DNS para gerar um DDoS.

Os ataques de amplificação utilizam características específicas de protocolos de rede para multiplicar seu poder de ataque, sendo necessários relativamente poucos recursos para que sejam nocivos ao alvo.

Através de técnicas de spoofing de IP, o atacante falsifica o endereço de origem e faz requisições a vários servidores ao mesmo tempo. Como os servidores acham que o alvo foi o requisitante da informação, todos respondem ao endereço de origem da requisição, congestionando a rede do alvo do ataque.

O que você precisa saber sobre a amplificação de DNS?

Os ataques acontecem utilizando o DNS (Domain Name System), sistema hierárquico e distribuído de gestão de nomes para computadores, serviços ou qualquer máquina conectada à Internet ou a uma rede privada, que identifica e traduz em IPs os endereços na web.

Graças ao DNS, é possível utilizar uma URL identificada com caracteres alfanuméricos ao invés de endereços IP. Quando você digita um endereço com domínio, “upx.com.br” ou “upx.com”, por exemplo, os servidores localizam o IP específico para ele.

A amplificação não é uma ameaça para o DNS em si, mas explora a natureza do protocolo para viabilizar os ataques DDoS e causar indisponibilidade para outros sistemas autônomos e usuários da internet. Ele pode ocorrer de duas maneiras:

O atacante pode sequestrar os domínios, falsificá-los e enviar requisições massivas via botnets – rede de computadores infectados – para o servidor inundando o alvo de tráfego. Ou utilizar domínios legítimos para provocar os ataques por meio de requisições do tipo ANY, em que os servidores DNS descarregam todas as entradas configuradas como resposta destas requisições ao alvo.

Efeitos do ataque 

Além da indisponibilidade do serviço, a queda também pode ser usada como um ataque primário, abrindo espaço para outras tentativas de invasão. Isso porque a amplificação também é uma forma de distração — mantendo os profissionais de segurança ocupados tentando restabelecer o serviço instável.

Em alguns casos, há transações entre os próprios invasores, vendendo o acesso às redes para outras pessoas.

A amplificação de DNS pode deixar a rede da sua empresa fora do ar, prejudicar a reputação da marca e ainda criar distrações para outros ataques. Isso reforça a preocupação com a segurança e a necessidade de pensar em formas de proteção DDoS.

Formas de minimizar efeitos de ataques de amplificação de DNS

A prevenção desses tipos de ataque devem estar no esforço conjunto entre Sistemas Autônomos e empresas que mantêm servidores DNS seguindo as medidas de segurança por meio de listas de acesso (ACL) e a restrição de consultas que podem ser abusadas para provocar a amplificação de DNS, além de aplicar limites de consultas para alguns tipos de consultas (“queries”).

Portanto, as instituições mencionadas anteriormente precisam estar engajadas com a causa, mesmo que estas não sejam alvo de ataques de amplificação de DNS.

Aliado a essas ações, a mitigação DDoS tem o papel fundamental de minimizar os efeitos causados ao alvo por meio de técnicas de filtragem de tráfego.

É sempre bom lembrar o quão importante é estar atento a ameaças e vulnerabilidades relacionadas a rede e aos ativos de TI da sua empresa, principalmente quando o assunto são ataques de negação de serviços e seus efeitos.

Sempre reforçamos algumas recomendações, como as acima que visam as boas práticas de segurança, pois elas são fundamentais para prevenir que redes e sistemas sejam abusados e gerem ataques.

E você? Ficou com alguma dúvida sobre como funciona a amplificação de DNS? Então, entre em contato e converse com nossos especialistas!