Back to All Blog

A infraestrutura crítica mais negligenciada da Internet

Donny Chong
Nexusguard
-
8 minutos de leitura
Compartilhar com:
In this article:

Há muitas partes da Internet que consideramos garantidas. Largura de banda. Armazenamento em nuvem. Até firewalls. Mas poucos são tão silenciosamente essenciais — ou tão perigosamente negligenciados — quanto o Sistema de Nomes de Domínio, mais conhecido como DNS.

Apesar de ser o primeiro ponto de contato em quase todas as transações digitais, o DNS continua sendo tratado como um serviço em segundo plano — uma central telefônica invisível que “simplesmente funciona” e, portanto, não precisa de muita atenção. Isso raramente é discutido em salas de reuniões. É ainda mais raramente avaliado quanto ao risco. E, na maioria das vezes, ele vem com outra coisa — seu registrador de domínio, seu provedor de CDN ou seu plano de hospedagem — fazendo com que pareça uma caixa de seleção em vez de uma escolha.

Mas aqui está a verdade incômoda: o DNS é um dos elementos mais frágeis, mais expostos e mais facilmente interrompidos da infraestrutura moderna da Internet. E, por algum motivo, continuamos tratando o DNS como um complemento de 5 dólares.

Por que o DNS é tão fácil de ignorar — e por que isso é um problema

Parte do problema é que o DNS parece aparentemente simples. Você digita um domínio em seu navegador e, como mágica, obtém um site. Nos bastidores, uma hierarquia de resolvedores recursivos e servidores autorizados trabalham juntos para responder à sua consulta. Eles fazem isso de forma tão confiável que, com o tempo, presumimos que não há nada com que se preocupar.

Não ajuda o fato de o DNS geralmente estar junto com outra coisa. Seu registrador fornece um painel de controle, sua CDN oferece “DNS embutido”, seu provedor de nuvem oferece uma zona livre quando você ativa um balanceador de carga. A interface do usuário é chata. O custo é trivial. Não há nenhum painel piscando em vermelho quando alguém está silenciosamente envenenando seu cache. O DNS se torna um item de linha, não uma linha de defesa.

E como “simplesmente funciona” na maioria das vezes, as organizações presumem que sempre funcionará. Até que isso não aconteça. Quando o DNS falha, ele não falha normalmente. Você não tem picos de latência. Você não recebe telas de tratamento de erros. Você simplesmente deixa de existir na internet. Os usuários não conseguem encontrar seu site, suas APIs expiram, seu e-mail é devolvido. Até mesmo seus controles de segurança podem desaparecer, porque seus firewalls, proxies e provedores de identidade dependem do DNS para operar.

O DNS é literalmente a porta de entrada do seu patrimônio digital — e quando está bloqueado, nada mais entra. No entanto, ainda é tratado como uma nota de rodapé na maioria dos planos de resposta a incidentes.

As duas dimensões críticas: disponibilidade e integridade

Se o DNS precisa cumprir duas promessas, elas são disponibilidade e integridade. Ironicamente, essas são exatamente as duas qualidades que negligenciamos rotineiramente.

Do lado da disponibilidade, o DNS é um alvo atraente de DDoS. Ele fica na borda. Tem que ser exposto ao trabalho. E como muitos provedores têm infraestrutura centralizada, você não precisa fazer muita coisa para quebrar muita coisa. Inunde um servidor DNS com consultas de subdomínio únicas e aleatórias suficientes e você poderá reduzir a resolução para milhões de usuários.

Do lado da integridade, os riscos são mais sutis e, sem dúvida, mais assustadores. Se alguém puder comprometer seu DNS, sequestrando sua conta de registrador, envenenando o cache de um resolvedor ou mexendo nos registros anteriores, não precisará invadir sua infraestrutura. Eles podem simplesmente redirecionar o tráfego para sua infraestrutura. Os usuários acham que estão falando com você; na realidade, eles estão sendo enganados, desfigurados ou pior. É limpo, silencioso e facilmente esquecido.

O que torna esses dois problemas mais dolorosos é a apatia organizacional. O DNS geralmente é uma responsabilidade compartilhada, ou seja, o trabalho de ninguém. Não é incomum encontrar equipes de operações que nem sabem onde estão seus servidores de nomes autorizados, muito menos para quem ligar se os registros desaparecerem.

Prova nas manchetes: quando o DNS quebra, tudo quebra

Se tudo isso parece teórico, não é. As notícias estão cheias de exemplos de colapsos relacionados ao DNS e contam a mesma história: pequenos problemas na camada de DNS podem desencadear falhas em cascata que parecem um apocalipse cibernético.

  • Ataque DDoS Dyn (2016): Usando uma botnet de câmeras IoT infectadas (lembra do Mirai?) , os atacantes inundaram a plataforma de DNS gerenciado da Dyn com solicitações falsas. O resultado? Twitter, Spotify, GitHub, Reddit e Airbnb ficaram inativos por horas. Esses sites não foram hackeados. Eles simplesmente ficaram inacessíveis porque seu provedor de DNS estava sobrecarregado.
  • O Exército Eletrônico Sírio (2013): Ao comprometer as credenciais de registrador de domínios do The New York Times e do Twitter, eles simplesmente se conectaram, alteraram os registros de DNS e direcionaram o mundo para páginas desfiguradas. Sem explorações, sem malware — apenas controle do DNS. Controle os nomes, controle a identidade.
  • Falhas de DNS em todo o país: Países inteiros ficaram off-line quando os principais resolvedores de DNS dos ISPs falharam sob carga ou foram configurados incorretamente. Quando um resolvedor fica inativo e não há redundância, milhões de pessoas perdem o acesso à Internet em geral. A conectividade de última milha é irrelevante se você não conseguir transformar um domínio em um IP.

O problema da visibilidade: você está voando às cegas

Mesmo em organizações que se orgulham de sua postura de segurança, o DNS tende a ser um ponto cego. Pergunte à sua equipe comum de operações ou segurança o que eles monitoram quanto ao DNS e você provavelmente obterá alguma variação de:

  • “Nós rastreamos a contagem de consultas.”
  • “Recebemos alertas se o serviço estiver inativo.”

É isso mesmo. Pouquíssimas equipes têm métricas sobre se certas consultas estão aumentando inesperadamente, se os erros de resolução estão relacionados a comportamentos maliciosos, se os TTLs estão sendo atendidos corretamente em todas as regiões ou se os registros estão se propagando de forma consistente.

Por que isso importa? Porque a atividade anômala do DNS geralmente é o primeiro sinal de um ataque. Um aumento repentino nas respostas do NXDOMAIN pode significar que alguém está investigando subdomínios. Discrepâncias estranhas de TTL podem indicar tentativas de envenenamento do cache. Mas se sua visibilidade terminar em “para cima ou para baixo”, você estará efetivamente cego até que o raio da explosão seja óbvio.

DNS e DDoS: um vetor de ataque ideal

Do ponto de vista de um atacante, o DNS é quase bom demais para ser verdade. Tem que ser público. Normalmente, fica fora da maioria das cadeias de ferramentas de segurança. E muitos provedores compartilham a infraestrutura entre os clientes. Você pode enfrentá-lo de vários ângulos: inundações volumétricas que sobrecarregam os resolvedores, ataques de reflexão que transformam consultas de DNS em tráfego amplificado ou ataques de “tortura hídrica” que geram infinitas pesquisas exclusivas de subdomínios, ignorando caches e destruindo origens.

A pior parte? Esses ataques geralmente passam despercebidos até serem totalmente realizados. Alguns milissegundos extras de tempo de resolução não acionam nenhum alarme. Algumas respostas do SERVFAIL são atribuídas a “a internet ser estranha”. Quando os usuários reclamam abertamente que “o site está fora do ar”, você já está com o pé atrás.

A maioria das estratégias anti-DDoS não aborda o DNS de forma alguma. Eles se concentram em proteger as camadas da web e de aplicativos. O tráfego de DNS é transferido para um resolvedor terceirizado ou nunca passa pela sua infraestrutura de mitigação. O que significa que, a menos que você tenha deliberadamente construído resiliência de DNS, você deixou sua porta da frente desprotegida enquanto reforçava as paredes.

Então, o que as organizações deveriam realmente fazer? (A parte que a maioria ignora)

A realidade deprimente é que muitas organizações só prestam atenção ao DNS depois de serem atacadas. Até lá, é tarde demais para descobrir onde suas zonas estão hospedadas, qual é sua estratégia de failover ou se você ainda tem registros do que aconteceu.

Se o DNS está acima de todo o resto, ele merece tanto pensamento arquitetônico quanto seus firewalls e balanceadores de carga. Possivelmente mais. Então, o que isso parece?

A redundância não é negociável

Hospede suas zonas com mais de um provedor confiável, de preferência em redes diferentes. Não se trata de desempenho; trata-se de sobrevivência. Se um provedor for retirado — por ataque, configuração incorreta ou aquisição — seu domínio permanecerá on-line.

Trate os registros de DNS como inteligência de ameaças, não apenas como dados de depuração

A análise de padrões de consultas pode dizer quem está vasculhando sua infraestrutura. Os picos nas respostas do NXDOMAIN podem ser avisos precoces de um ataque de subdomínio de força bruta. Mas você não verá esses padrões se seu “monitoramento” for uma luz verde que diz “serviço ativo”.

Certifique-se de que a integridade seja verificável

O DNSSEC não é perfeito, mas atualmente é uma das únicas maneiras de assinar criptograficamente seus registros, garantindo que as respostas não sejam adulteradas durante o trajeto. Sim, pode ser difícil de implementar, especialmente se sua pilha de DNS estiver espalhada por vários provedores, mas sua capacidade de evitar ataques silenciosos de redirecionamento faz com que valha a pena.

Não se esqueça da privacidade e da interceptação

As consultas de DNS tradicionais são enviadas de forma clara. Protocolos emergentes, como DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT), criptografam essas pesquisas, protegendo os usuários em redes hostis. Navegadores e sistemas operacionais móveis os estão adotando por padrão. Isso tem implicações na forma como sua infraestrutura interage com os clientes. No mínimo, você deve entender como as escolhas de DNS de seus usuários afetam a forma como eles chegam até você.

Saiba como seus registros se comportam globalmente

Atrasos de propagação e caches inconsistentes podem causar interrupções regionais que nunca aparecem em seu monitoramento. Teste a resolução em várias regiões. Valide se as mudanças realmente entram em vigor. Se você é um serviço global, suponha que a estrutura global do DNS seja irregular.

Torne o DNS parte do seu modelo de segurança

Inclua cenários de ataque de DNS em seus exercícios de mesa. Atribua a propriedade do DNS de forma clara — isso não deve ser uma reflexão tardia compartilhada por três equipes. Se você tiver um SOC, certifique-se de que as anomalias de DNS apareçam em seus painéis.

Fechando a lacuna sem nomear nomes

Há um mercado crescente de serviços de DNS especializados projetados para organizações que entendem que disponibilidade e integridade não são opcionais. Eles não hospedam apenas seu arquivo de zona. Eles oferecem infraestrutura distribuída globalmente, DNSSEC integrado, proteção contra DDoS integrada na camada de resolução e, o mais importante, visibilidade profunda do que está acontecendo com seus registros. Eles alertam você sobre padrões estranhos antes que se tornem interrupções.

Se sua configuração atual de DNS parece uma caixa de seleção na interface do registrador, vale a pena perguntar se isso é suficiente para a escala e a importância dos serviços que você está executando. Você não precisa nomear provedores para saber a diferença entre DNS básico e resiliência gerenciada.

Pensamento final

O DNS é fundamental, mas, como fica em segundo plano, geralmente é a última coisa em que as pessoas pensam. E quando dá errado, é a primeira coisa em que eles gostariam de ter pensado.

Não se trata de fomentar o medo. Trata-se de reconhecer que, à medida que nossos sistemas se tornam mais distribuídos, orientados por APIs e dependentes de terceiros, a simples pesquisa de DNS continua sendo o primeiro aperto de mão em quase todas as transações. Trate-o como um cidadão de primeira classe. Redundância incorporada. Visibilidade da demanda. Inclua isso em seu modelo de ameaça.

Porque aqui está a piada: se seu firewall falhar, você saberá em segundos. Se seu DNS for invadido, talvez você não saiba até que seus usuários lhe digam — ou até que sua marca apareça na lista de “quem foi hackeado esta semana”. Qual deles te mantém acordado à noite?

Protect Your Infrastructure Today

Explore Nexusguard Edge Protection Solutions Today
Start Conversation

Related Articles

Application Protection,CVE,Vulnerability,WAF
8 min read

CVE-2022-26134: Zero-Day Vulnerability in Atlassian Confluence Server and Data Center

The Nexusguard WAF is already updated with the new rule that would effectively block any attempt to exploit the Atlassian vulnerability. For our customers that are using Atlassian’s products and services or might be concerned about their exposure to this vulnerability should reach out to the Nexusguard Service Team to review their WAF policies.
View Details
Bit-and-Piece Attacks,Cybersecurity,DDoS Attacks,DDoS Mitigation,DDoS Protection,InfraProtect
8 min read

How to detect and mitigate Bit-and-piece, aka Carpet Bombing DDoS attack

Designed to protect large networks from L3/L4 attacks of all complexities, Nexusguard InfraProtect offers telcos and ISPs the ability to leverage Nexusguard's globally distributed infrastructure to be used as an off-site sandbox to perform traffic analysis, shaping and attack mitigation.
View Details
DDoS,IoT,Mirai
8 min read

Cybersecurity Risk Caution: IoT Devices Susceptible to Infection

“Mirai” uses the Internet of Things (IoT) as a target to launch large-scale cyber attacks. Click here to read more about it on Nexusguard blog.
View Details