Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Ataques / NXNSAttack: Vulnerabilidad en DNS facilita ataques DDoS

NXNSAttack: Vulnerabilidad en DNS facilita ataques DDoS

Por Leave a Comment

Investigadores de seguridad israelíes han detallado un fallo en el protocolo DNS que puede ser explotado para realizar ataques de denegación de servicio (DDoS).

Denominado NXNSAttack, el fallo se aprovecha de la forma en que los servidores DNS recursivos (los que proporcionan los proveedores de internet) resuelven los nombres de dominio, consiguiendo que generen mucho tráfico contra determinados objetivos elegidos por el atacante.

Mostramos que el número de mensajes DNS intercambiados durante el proceso de resolución puede ser, en la práctica, mucho mayor de lo que se espera en teoría, principalmente debido a la resolución proactiva de las direcciones IP de los servidores de nombres. Esta ineficiencia puede aprovecharse para atacar, tanto los servidores DNS recursivos como los autorizados.

Los investigadores han conseguido, mediante la utilización de esta técnica, amplificar más de 1600 veces el número de paquetes intercambiados entre el servidor recursivo y la victima.

Cómo funciona

Para resolver un nombre de dominio (obtener su direccion IP, por ejemplo) nuestro equipo hace una consulta a los servidores DNS que tenga configurados. Se suele utilizar los que proporciona tu operador de acceso a internet, o bien servidores de terceros como los famosos 1.1.1.1 de Cloudflare, o el 8.8.8.8 de Google.

Al resolver un dominio controlado por un atacante, en lugar de una respuesta concreta, éste puede delegar la respuesta en otra serie de servidores de nombres gestionados por la víctima. En este caso, el servidor recursivo al que hicimos inicialmente la consulta, procederá a resolver, recursivamente, estas nuevas referencias, utilizando para ello los servidores DNS autorizados de la víctima.

Se consigue, de esta manera, amplificar una consulta DNS simple en miles de peticiones que pueden saturar los servidores DNS del objetivo con muy bajo coste para el atacante.

Las principales empresas proveedoras de servidores DNS recursivos ya han corregido el problema en sus respectivas aplicaciones: PowerDNS, CZ.NIC, Cloudflare, Google, Amazon, Microsoft, etc

Referencias

https://thehackernews.com/2020/05/dns-server-ddos-attack.html
https://www.nxnsattack.com/ (Archivo, PDF)

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.