Um relatório de segurança revela que o número de DNS Amplification ataca feito no primeiro trimestre (Q1) do 2018 duplicaram. Por definição, eles são um tipo de DDOS (Negação de serviço distribuída) ataques que estão entre as táticas de hacking mais comuns. Os objetivos finais são sabotar os alvos, tornando os servidores inacessíveis.
Rampage de ataques de amplificações de DNS! Número de incidentes relatados dobrado
Relatórios de segurança indicam que o número de ataques de amplificação de DNS dobrou nos primeiros três meses de 2018 (Q1). Isso mostra que os hackers mudaram de tática, preferindo este método a outros. As informações publicadas revelam que eles aumentaram quase 700% ano após ano. Os ataques estão sendo feitos acessando os servidores DNS abertos para inundar os sistemas de destino com tráfego de resposta. Isso é feito seguindo estas etapas predefinidas:
- Seleção de Alvo - Os hackers identificam seus alvos descobrindo seus servidores DNS associados.
- Criação de Pacotes - Depois que os criminosos selecionam seus alvos, eles começam a enviar solicitações de pesquisa com endereços de origem falsificados. Como resultado, os servidores começam a enviar respostas para outro servidor. Os invasores visam incluir o máximo de informações possível.
- DNS Amplification - Os ataques são orquestrados assim que os servidores começam a gerar as respostas associadas às vítimas finais. A equipe de análise relata que, na maioria dos casos, as solicitações aos servidores DNS usam o “QUALQUER” parâmetros que retornam todas as informações conhecidas sobre as zonas DNS em uma única solicitação. Como resultado, a grande quantidade de dados gerados que são alimentados para os alvos finais da vítima pode facilmente derrubá-los.
Os ataques de amplificação de DNS são facilmente orquestrados por táticas de hackers, como botnets. Nesses casos, é muito difícil se defender contra as ondas que se aproximam, potencializando o ataque. Não há uma maneira fácil de filtrar os dados de entrada para pacotes falsificados, pois todo o conteúdo praticamente lista dados legítimos. Eles também vêm de servidores válidos.
Os criminosos usam uma combinação de várias estratégias, enviando solicitações de pacotes utilizando protocolo de tempo de rede (NTP), protocolo universal de datagrama (UDP) e etc. Quando eles são aproveitados usando botnets ou outra infraestrutura avançada. As principais fontes de ataques DDOS no primeiro trimestre 2018 são a China, EUA e Vietnã levando primeiro, segundo e terceiro lugar.
Métodos de mitigação de ataques de amplificações de DNS
Os administradores de rede podem tentar usar ferramentas de digitalização baseadas na web que pode analisar redes para resolvedores de DNS vulneráveis. Isso mostra a lista de hosts potenciais que podem ser usados por hackers para ataques de amplificação de DNS. Os pesquisadores de segurança afirmam que é possível filtrar alguns dos ataques observando se os pacotes recebidos têm uma solicitação correspondente.
Os provedores de serviços de Internet (ISPs) também pode ajudar na prevenção de ataques de rejeição de pacotes que possuem endereços de origem não acessíveis através do caminho do pacote. Essas mudanças precisarão ser implementadas pelos ISPs e nem todos eles adotaram esta recomendação de segurança. Proprietários de serviço DNS também podem desativar informações recursivas para clientes externos. De acordo com as melhores diretrizes de segurança, a resolução recursiva de outros domínios não é necessária e deve ser desativada.
O que é mais impressionante sobre essa tática de hacker é que ela depende de uma configuração deficiente de serviços da web que são (por princípio) público para uso por todos os tipos de cliente. O fato de que os ataques de amplificação de DNS dobraram no primeiro trimestre 2018 mostra que há muito a ser feito pelos administradores de sistema, ISPs e todas as outras partes responsáveis.