Investigadores de seguridad israelíes han detallado un fallo en el protocolo DNS que puede ser explotado para realizar ataques de denegación de servicio (DDoS).

Denominado NXNSAttack, el fallo se aprovecha de la forma en que los servidores DNS recursivos (los que proporcionan los proveedores de internet) resuelven los nombres de dominio, consiguiendo que generen mucho tráfico contra determinados objetivos elegidos por el atacante.
Mostramos que el número de mensajes DNS intercambiados durante el proceso de resolución puede ser, en la práctica, mucho mayor de lo que se espera en teoría, principalmente debido a la resolución proactiva de las direcciones IP de los servidores de nombres. Esta ineficiencia puede aprovecharse para atacar, tanto los servidores DNS recursivos como los autorizados.
Los investigadores han conseguido, mediante la utilización de esta técnica, amplificar más de 1600 veces el número de paquetes intercambiados entre el servidor recursivo y la victima.
Cómo funciona
Para resolver un nombre de dominio (obtener su direccion IP, por ejemplo) nuestro equipo hace una consulta a los servidores DNS que tenga configurados. Se suele utilizar los que proporciona tu operador de acceso a internet, o bien servidores de terceros como los famosos 1.1.1.1 de Cloudflare, o el 8.8.8.8 de Google.
Al resolver un dominio controlado por un atacante, en lugar de una respuesta concreta, éste puede delegar la respuesta en otra serie de servidores de nombres gestionados por la víctima. En este caso, el servidor recursivo al que hicimos inicialmente la consulta, procederá a resolver, recursivamente, estas nuevas referencias, utilizando para ello los servidores DNS autorizados de la víctima.
Se consigue, de esta manera, amplificar una consulta DNS simple en miles de peticiones que pueden saturar los servidores DNS del objetivo con muy bajo coste para el atacante.

Las principales empresas proveedoras de servidores DNS recursivos ya han corregido el problema en sus respectivas aplicaciones: PowerDNS, CZ.NIC, Cloudflare, Google, Amazon, Microsoft, etc
Referencias
https://thehackernews.com/2020/05/dns-server-ddos-attack.html
https://www.nxnsattack.com/ (Archivo, PDF)
Deja una respuesta