Storia e origine
L'attacco di riflessione DNS è una tipologia di attacco Distributed Denial of Service (DDoS) che sfrutta le caratteristiche del Domain Name System (DNS) per sovraccaricare l'infrastruttura del bersaglio con un elevato volume di traffico indesiderato. Questo attacco sfrutta i risolutori DNS aperti, utilizzandoli per amplificare il volume di traffico diretto verso la vittima.
La prima menzione degli attacchi di riflessione DNS risale al 2006 circa. Nei primi attacchi DDoS, gli aggressori utilizzavano principalmente botnet per inondare direttamente i target con il traffico. Tuttavia, con il miglioramento delle difese contro tali attacchi, i criminali informatici hanno cercato nuove tattiche. Hanno scoperto che inviando query DNS con un indirizzo IP di origine contraffatto per aprire i risolutori DNS, potevano indurre i risolutori a inviare risposte più ampie alla vittima, amplificando l'attacco.
Informazioni dettagliate sull'attacco di riflessione DNS
Un attacco di riflessione DNS in genere segue questi passaggi:
-
IP di origine falsificato: l'aggressore falsifica l'indirizzo IP di origine in un pacchetto di query DNS per far sembrare che la richiesta provenga dalla destinazione.
-
Apri risolutori DNS: l'aggressore invia queste query DNS contraffatte ai risolutori DNS aperti. Questi risolutori sono accessibili pubblicamente e sono configurati in modo errato per rispondere alle query provenienti da qualsiasi indirizzo IP.
-
Fattore di amplificazione: I risolutori DNS aperti ricevono le query contraffatte e, credendo che siano richieste legittime, inviano le loro risposte al bersaglio utilizzando l'indirizzo IP del bersaglio. Le risposte sono in genere molto più ampie delle query originali, amplificando il traffico dell'attacco.
-
Sopraffare il bersaglio: L'obiettivo, ora inondato da un volume enorme di traffico, fatica a gestire l'elevato tasso di richieste, portando al degrado del servizio o alla completa indisponibilità.
Caratteristiche principali dell'attacco di riflessione DNS
L’attacco di riflessione DNS presenta diverse caratteristiche chiave che lo rendono particolarmente efficace:
-
Fattore di amplificazione: L'attacco sfrutta la grande differenza di dimensioni tra le query e le risposte DNS. Questo fattore di amplificazione può essere compreso tra 50 e 100 volte, il che significa che una piccola query può portare a una risposta molto più ampia.
-
Facile da avviare: L'attacco richiede risorse minime da parte dell'aggressore, rendendolo attraente per i criminali informatici alle prime armi. L’enorme numero di risolutori DNS aperti disponibili su Internet semplifica ulteriormente il lancio dell’attacco.
-
Natura distribuita: Come altri attacchi DDoS, l'attacco di riflessione DNS è distribuito, il che significa che più fonti sono coinvolte nell'inondazione del bersaglio, rendendone più difficile la mitigazione.
-
Protocollo UDP: L'attacco viene condotto principalmente utilizzando pacchetti UDP (User Datagram Protocol), che non richiedono un handshake come i pacchetti TCP (Transmission Control Protocol), rendendo più difficile risalire alla fonte.
Tipi di attacchi di riflessione DNS
Gli attacchi di riflessione DNS possono essere classificati in base al tipo di query DNS utilizzata e alla dimensione della risposta. I tipi più comuni includono:
| Tipo di attacco | Caratteristiche |
|---|---|
| Domanda standard | L'aggressore invia una normale query DNS. |
| QUALSIASI domanda | L'aggressore invia una query DNS per QUALSIASI record. |
| Domanda inesistente | L'aggressore invia una richiesta per nomi di dominio inesistenti. |
| EDNS0 Interrogazione | L'aggressore utilizza i meccanismi di estensione per DNS (EDNS0) per aumentare la dimensione della risposta. |
Modi per utilizzare l'attacco e le soluzioni di riflessione DNS
Gli attacchi di riflessione DNS sono stati utilizzati in modo improprio in vari modi, tra cui:
-
Interruzione dei servizi: gli aggressori utilizzano attacchi di riflessione DNS per interrompere i servizi online, causando tempi di inattività e perdite finanziarie alle aziende.
-
Mascherare la fonte: mediante lo spoofing dell'indirizzo IP di origine, gli aggressori possono far sembrare che il traffico dell'attacco provenga dall'IP della vittima, creando potenziale confusione durante la risposta all'incidente.
-
Aggirare le misure di difesa: gli attacchi di riflessione DNS possono essere utilizzati come tattica diversiva per distogliere l'attenzione dei team di sicurezza, mentre altri attacchi vengono eseguiti simultaneamente.
Soluzioni:
-
Limitazione della velocità: I provider di servizi Internet (ISP) e gli operatori di risoluzione DNS possono implementare politiche di limitazione della velocità per limitare il numero di risposte inviate a un particolare indirizzo IP, riducendo il fattore di amplificazione.
-
Convalida IP di origine: i risolutori DNS possono implementare la convalida dell'IP di origine per garantire che le risposte vengano inviate solo ai richiedenti legittimi.
-
Limite dimensione risposta DNS: gli amministratori di rete possono configurare i risolutori DNS per limitare la dimensione delle risposte per impedire l'amplificazione.
-
Filtraggio degli Open Resolver: Gli ISP e gli amministratori di rete possono identificare e filtrare i risolutori DNS aperti per prevenirne l'uso improprio nell'attacco.
Caratteristiche principali e confronti
| Caratteristica | Attacco di riflessione DNS | Attacco di amplificazione DNS | Attacco di tipo DNS Flood |
|---|---|---|---|
| Metodo di attacco | Sfrutta i risolutori aperti per amplificare il traffico | Utilizza server DNS configurati in modo errato per amplificare il traffico | Travolge l'infrastruttura DNS del bersaglio con un tasso di richieste elevato |
| Fattore di amplificazione | Alto (50-100x) | Alto (10-100x) | Basso |
| Difficoltà di esecuzione | Relativamente facile | Relativamente facile | Richiede più risorse |
| Tracciabilità | Più difficile da rintracciare | Più difficile da rintracciare | Più difficile da rintracciare |
Prospettive e tecnologie future
Con la continua evoluzione di Internet, gli attacchi di riflessione DNS potrebbero persistere a causa delle vulnerabilità intrinseche dei risolutori DNS aperti. Tuttavia, i progressi nella sicurezza della rete, come l’implementazione di DNSSEC (Domain Name System Security Extensions) e configurazioni di risolutori DNS più sicure, possono mitigare in modo significativo l’impatto di tali attacchi.
Le tecnologie future potrebbero concentrarsi su meccanismi di monitoraggio e filtraggio migliorati a livello dei risolutori DNS per rilevare e impedire lo sfruttamento dei risolutori aperti. Inoltre, una migliore collaborazione tra ISP e amministratori di rete per affrontare in modo proattivo le configurazioni errate può mitigare ulteriormente il rischio di attacchi di riflessione DNS.
Server proxy e attacchi di riflessione DNS
I server proxy possono inavvertitamente diventare parte di attacchi di riflessione DNS se non sono configurati correttamente per agire come risolutori DNS aperti. Gli aggressori possono sfruttare tali configurazioni errate per amplificare il traffico di attacco e indirizzarlo verso l’obiettivo previsto. I fornitori di server proxy come OneProxy devono implementare rigorose misure di sicurezza per impedire che i loro server vengano utilizzati in tali attacchi.
Link correlati
Per ulteriori informazioni sugli attacchi di riflessione DNS, è possibile fare riferimento alle seguenti risorse:
- Centro Coordinamento CERT: Attacchi di amplificazione DNS
- Avviso US-CERT: attacchi di amplificazione DNS
- Cloudflare: attacchi di amplificazione DNS
Ricorda, rimanere informati e vigili contro le minacce informatiche è fondamentale per salvaguardare l’integrità e la disponibilità dei servizi online.
