DNSSEC puede fomentar los ataques DDoS

Un ataque de amplificación de DNS significa que los paquetes UDP con direcciones IP de destino falsificadas se envían de forma malintencionada a un servidor DNS de acceso público. Al intentar responder al remitente, los solucionadores de DNS transmiten una respuesta grande a la dirección IP falsificada del objetivo. El objetivo recibe una enorme cantidad de respuestas de la red circundante. Tenga en cuenta, para contextualizar, que durante el trimestre, la red honeypot de Nexusguard capturó 144.465.553 consultas DNS maliciosas. Eso es mucho, y ese es más o menos el objetivo del ataque amplificado. No es de extrañar que Nexusguard descubriera que la amplificación del DNS era el principal vector de ataques DDoS, con aumentos bruscos del 31,01% intertrimestral y del 1.040,41% interanual, respectivamente. Le siguieron las inundaciones HTTP y HTTPS, que cayeron un 12,78% y un 36,00% (QOQ), mientras que aumentaron un 281,51% y un 363,33%, respectivamente, (interanual). El ataque HTTP Flood es el segundo ataque más común, ya que intenta agotar los recursos del servidor mediante la generación de solicitudes o sesiones HTTP volumétricas y válidas. El método más común para lanzar estos ataques es HTTP GET Flood. El tercer vector más común es HTTPS Flood. Estas sesiones suelen ser HTTPS GET. Abruman los servidores web de la víctima al inundarlos de solicitudes de respuesta (ACK). El proceso obliga a los servidores a asignar el máximo de recursos para gestionar el tráfico de ataques volumétricos. Debido a esto, el tráfico normal no puede pasar. NexusGuard descubrió que los ataques con un solo vector dominaban el 63,56% del total, mientras que los multivectoriales representaban el resto. Los ataques con dos y tres vectores representaron el 13,56% y el 8,71%, respectivamente. El número máximo de vectores que detectaron fue 13. En cuanto a la duración de los ataques, el 74,18% duró menos de 90 minutos y el 2,42% duró más de 1200. El promedio trimestral fue de 182,9 minutos, mientras que el ataque más largo que vieron duró 28 días, 1 hora y 11 minutos. Durante el trimestre, la duración media se redujo un 65,57% (intertrimestral) y un 42,50% (interanual), y la duración máxima se redujo un 3,76% (intertrimestral), mientras que aumentó un 467,97% (interanual). El informe ofrece una interesante visión del DNSSEC. Señala que: «La creciente adopción del DNSSEC sugiere que la amplificación del DNS seguirá representando una amenaza importante tanto para las redes de los proveedores de servicios como para las de las empresas. La implementación de DNSSEC como el parche definitivo para corregir el envenenamiento de la caché del DNS, que debería haberse hecho hace mucho tiempo, está ganando por fin una aceptación generalizada. La desventaja son las respuestas excepcionalmente largas que generan los servidores compatibles con DNSSEC. Las respuestas largas del DNS incluyen registros que contienen claves criptográficas o firmas. Cuando se actualiza un dominio para que sea compatible con DNSSEC, devuelve tanto los registros tradicionales como los registros DNS. Como resultado, el tamaño de las respuestas de DNS compatibles con DNSSEC supera con creces al de las respuestas tradicionales». Esto le gustará a un atacante, ya que le resulta más fácil llenar un sistema con una respuesta prolongada. Pero es posible que el resto de nosotros aguantemos el posible problema de un DDoS para corregir la caché de DNSSEC

Fuente: https://www.securitynow.com/author.asp?section_id=649&doc_id=754210 y