Back to All Blog

Defenda-se contra ataques de inundação de DNS com o DNSShield da Nexusguard

Nexusguard
-
Compartilhar com:
In this article:

Em uma era em que os ataques de DNS estão crescendo em complexidade, o DNSShield da Nexusguard oferece uma solução poderosa para proteger sua infraestrutura de domínio. Projetado para lidar com ataques furtivos de inundação em nível de domínio de camada 7, como ataques NxDomain e Phantom Domain, o DNSShield se integra perfeitamente à estrutura de proxy reverso do Nexusguard. Ele fornece mitigação contínua e proativa sem depender de detecção ou alertas, garantindo que seus serviços de DNS permaneçam resilientes e responsivos. Personalizado para proteger servidores de nomes autorizados e resolvedores de DNS, o DNSShield utiliza regras de filtro avançadas para oferecer proteção robusta e sempre ativa.

Como configurar o DNSShield

O DNSShield oferece um processo de configuração flexível e intuitivo, permitindo que você configure a proteção em um por site ou por servidor de nomes base. Esse controle granular garante que você possa personalizar as defesas do DNSShield para atender às necessidades específicas de sua infraestrutura.

O DNSShield inclui um botão ON/OFF independente para cada perfil, oferecendo controle total sobre quando e onde a proteção é aplicada. Esse recurso é especialmente útil para testar, solucionar problemas ou implementar gradualmente o DNSShield em vários sites ou servidores.

O DNSShield foi projetado para funcionar em harmonia com os serviços de mitigação NetShield e L3-4 da Nexusguard. Depois que o NetShield lida com ameaças de camada inferior (L3-4), o DNSShield executa suas proteções avançadas específicas de DNS, garantindo uma estratégia de defesa abrangente que cubra todas as camadas do modelo OSI.

Figura 1 - Configurando o DNSShield

Como funciona o DNSShield

O DNSShield emprega três contramedidas poderosas para aprimorar a proteção do DNS:

  1. Filtro de domínio — Implementos listas de permissões e listas de bloqueio em nível de zona para controlar o acesso a domínios específicos.
  2. Filtro NxDomain — Monitora e regula a taxa de consulta para zonas inexistentes, evitando a sobrecarga causada por solicitações inválidas.
  3. Cache de erros de DNS — armazena respostas de erro de DNS para consultas recorrentes, reduzindo o processamento redundante e melhorando a eficiência.

Filtro de domínio

Figura 2 - Filtro de domínio

O filtro de domínio inclui várias regras de filtro personalizáveis, com a regra_padrão sempre executando por último. O default_rule serve como ponto de verificação final, garantindo uma filtragem abrangente após a aplicação de todas as outras regras.

Figura 3 - Regras de filtro de domínio

O filtro de domínio foi projetado para proteger servidores de nomes autorizados, permitindo ou bloqueando consultas com base em zonas predefinidas. Esse recurso é particularmente eficaz quando você tem uma compreensão clara das zonas específicas que devem ser permitidas ou negadas. Por padrão, o filtro de domínio é definido como Deixar cair, garantindo que todas as consultas não permitidas explicitamente pelas regras anteriores sejam bloqueadas automaticamente.

Filtro de domínio NX

Figura 4 - Filtro NxDomain

O filtro NxDomain é ativado após o filtro de domínio para inspecionar e mitigar o tráfego que passou pelo estágio inicial de filtragem. Isso garante uma camada adicional de proteção ao direcionar e regular consultas inválidas para domínios inexistentes.

Figura 5 - Regras de filtro do NxDomain

O filtro NxDomain rastreia o número de consultas NxDomain originadas de cada IP de origem. Se um IP de origem exceder o limite predefinido, o filtro bloqueará todas as solicitações de DNS desse IP por um período especificado. Quando o período de bloqueio terminar, o IP de origem poderá retomar as consultas, desde que permaneça dentro do limite de taxa aceitável.

Cache de erros de DNS

Figura 6 - Cache de erros de DNS

O DNS Error Cache é um mecanismo de cache inteligente projetado para lidar com consultas repetitivas para domínios inválidos ou inexistentes com mais eficiência. Embora não seja um filtro no sentido tradicional, ele desempenha um papel fundamental no aprimoramento do desempenho e da resiliência do seu servidor DNS.

Figura 7 - Vida útil da expiração do cache

Características principais

  • 3 tempos de vida pré-definidos
    O DNS Error Cache opera com três durações de cache predefinidas, permitindo equilibrar desempenho e eficiência de recursos. Esses tempos de vida determinam por quanto tempo as respostas de erro (por exemplo, NxDomain, SERVFAIL) são armazenadas antes de serem atualizadas, garantindo o tratamento ideal de consultas inválidas repetitivas.
  • Armazena em cache códigos de retorno de DNS diferentes de NOERROR
    O cache armazena especificamente respostas de erro de DNS, como NxDomain (domínio inexistente) ou SERVFAIL (falha do servidor), enquanto exclui respostas bem-sucedidas (NOERROR). Essa abordagem direcionada garante que somente consultas problemáticas sejam otimizadas, deixando o tráfego legítimo inalterado.
  • Absorve grandes volumes de solicitações de DNS inválidas
    Ao armazenar respostas de erro em cache, o DNS Error Cache absorve e neutraliza com eficácia grandes volumes de consultas inválidas. Isso reduz a carga em seus servidores DNS e na infraestrutura upstream, evitando o esgotamento de recursos e mantendo a disponibilidade do serviço.
  • Aplicável em todas as situações como última linha de defesa
    O DNS Error Cache opera como a proteção final em sua cadeia de processamento de consultas de DNS. Depois que todos os outros filtros e regras tiverem sido aplicados, esse mecanismo de cache intervém para gerenciar consultas repetitivas para domínios inexistentes ou inválidos, garantindo proteção abrangente em todos os cenários.

Política de proteção para servidores de nomes autoritativos

Quando o seu servidor de nomes autoritativo está sob proteção, é essencial implementar uma estratégia de defesa robusta adaptada às zonas específicas que ela hospeda. Como o servidor gerencia uma lista bem definida de zonas, você pode aproveitar os recursos do DNSShield para criar uma política de proteção altamente eficaz.

Política de proteção sugerida:

  1. Filtro de domínio: zonas de hospedagem da lista de permissões

Ação: adicione todas as zonas hospedadas ao lista de permissões.

Resultado: as consultas para domínios dentro dessas zonas são permitidas, enquanto as solicitações para qualquer outra zona são automaticamente descartadas.

  1. Filtro NXDOMAIN: regule consultas de subdomínio inválidas

Ação: ative o filtro NXDOMAIN para monitorar e controlar consultas para subdomínios inexistentes ou inválidos em suas zonas hospedadas.

Resultado: O filtro regula a taxa dessas consultas, evitando que invasores sobrecarreguem seu servidor com solicitações repetitivas de subdomínios falsos.

  1. Cache de erros de DNS: absorva todas as outras consultas inválidas

Ação: ative o cache de erros de DNS para processar e armazenar em cache as respostas de erro para consultas inválidas que passam pelas duas primeiras camadas de defesa.

Resultado: consultas inválidas repetitivas são absorvidas localmente, reduzindo a carga no servidor e na infraestrutura upstream.

Política de proteção para resolvedores recursivos

Quando o servidor de nomes under protection está operando como um resolvedor recursivo, ele deve lidar com consultas de DNS para qualquer zona, tornando-o um alvo principal para uma ampla variedade de ataques. Para proteger seu resolvedor, o DNSShield oferece uma estratégia de defesa em várias camadas adaptada a esse ambiente dinâmico.

Política de proteção sugerida:

  1. Filtro de domínio: bloquear zonas inválidas conhecidas

Ação: use o filtro de domínio para eliminar consultas sobre zonas conhecidas inválidas ou maliciosas identificadas durante ataques.

Resultado: Isso bloqueia imediatamente o tráfego para domínios prejudiciais ou não legítimos, reduzindo a superfície de ataque e conservando os recursos do servidor.

  1. Filtro NxDomain: regule consultas para zonas inexistentes

Ação: ative o filtro NxDomain para controlar a taxa de consultas para zonas inexistentes ou inválidas.

Resultado: O filtro limita ou bloqueia consultas excessivas para domínios que não existem, evitando que invasores sobrecarreguem seu resolvedor com solicitações falsas.

  1. Cache de erros de DNS: absorva todas as outras consultas inválidas

Ação: ative o cache de erros de DNS para processar e armazenar em cache as respostas de erro para todas as consultas inválidas restantes.

Resultado: consultas inválidas repetitivas são absorvidas localmente, reduzindo a carga no resolvedor e na infraestrutura upstream.

Estabeleça sua estratégia de defesa cibernética hoje mesmo para fortalecer seus servidores de nomes autorizados e resolvedores recursivos usando o DNSShield da Nexusguard. Entre em contato com um dos nossos peritos agora para começar.

Protect Your Infrastructure Today

Explore Nexusguard Edge Protection Solutions Today
Start Conversation

Related Articles

Cybersecurity,DDoS,Financial Sector,Government
8 min read

What Can We Learn from the Worst Government Cyber Attacks?

More politically-motivated attacks have happened in the governments and the public sector globally. Click here to read our blog to learn more now!
View Details
Communications Service Provider,DDoS Protection,Partnership,TAP
8 min read

Up your game

DDoS mitigation as a service represents an attractive market for CSPs. But building out this service offering is costly and time-consuming.
View Details
DDoS
8 min read

DDoS Attack Hits 4Chan via Imgur Exploit

The DDoS didn’t completely stop traffic flow on the two sites, but it did make their load times incredibly slow – effectively making them unusable.
View Details