O DNSSEC pode incentivar o DDoS

Um ataque de amplificação de DNS significa que pacotes UDP com endereços IP de destino falsificados são enviados maliciosamente para um servidor DNS acessível ao público. Ao tentar responder ao remetente, os resolvedores de DNS transmitem uma grande resposta ao endereço IP falsificado do alvo. O alvo recebe uma quantidade enorme de respostas da rede circundante. Considere, para contextualizar, que durante o trimestre, a rede honeypot da Nexusguard capturou 144.465.553 consultas maliciosas de DNS. Isso é muito, o que é mais ou menos o objetivo do ataque amplificado. Não é de admirar que a Nexusguard tenha descoberto que a amplificação do DNS era o principal vetor de ataque de DDoS, mostrando aumentos acentuados de 31,01% no QOQ e 1.040,41% em relação ao ano anterior, respectivamente. Seguiram-se HTTP e HTTPs Flood, caindo 12,78% e 36,00% (QOQ), enquanto aumentaram 281,51% e 363,33%, respectivamente (YOY). O ataque HTTP Flood é o segundo ataque mais comum, tentando esgotar os recursos do servidor gerando solicitações ou sessões HTTP válidas e volumétricas. O método mais comum para iniciar esses ataques é HTTP GET Flooding. O terceiro vetor mais comum é HTTPS Flood. Essas sessões geralmente são HTTPS GET. Eles sobrecarregam os servidores web da vítima, inundando-os com solicitações de resposta (ACK). O processo força os servidores a alocar o máximo de recursos para lidar com o tráfego volumétrico do ataque. O tráfego normal não consegue passar por causa disso. O NexusGuard descobriu que os ataques de vetor único dominaram com 63,56% do total, enquanto os vários vetores foram responsáveis pelo resto. Os ataques de dois e três vetores foram de 13,56% e 8,71%, respectivamente. O número máximo de vetores que eles viram foi 13. Quanto à duração dos ataques, 74,18% dos ataques duraram menos de 90 minutos. 2,42% duraram mais de 1.200. A média trimestral foi de 182,9 minutos, enquanto o ataque mais longo que eles viram durou 28 dias, 1 hora e 11 minutos. No trimestre, a duração média caiu 65,57% (QOQ) e 42,50% (YOY) e a duração máxima caiu 3,76% (QOQ), enquanto aumentou 467,97% (YOY). O relatório tem uma visão interessante sobre o DNSSEC. Ele observa que “A crescente adoção do DNSSEC sugere que a amplificação do DNS continue a representar uma ameaça significativa tanto para os provedores de serviços quanto para as redes corporativas. Há muito tempo, a implantação do DNSSEC como o patch definitivo para corrigir o envenenamento do cache do DNS está finalmente ganhando ampla aceitação. A desvantagem são as respostas excepcionalmente longas que os servidores habilitados para DNSSEC geram. As respostas longas do DNS incluem registros contendo chaves criptográficas e/ou assinaturas. Quando um domínio é atualizado para oferecer suporte ao DNSSEC, ele retorna registros tradicionais e registros DNS. Como resultado, os tamanhos das respostas de DNS habilitadas para o DNSSEC excedem significativamente os das respostas tradicionais.” Um invasor gostará disso, pois é mais fácil para ele encher um sistema com uma resposta longa. Mas o resto de nós pode tolerar o problema potencial de DDoS para a correção do cache do DNSSEC.

Fonte: https://www.securitynow.com/author.asp?section_id=649&doc_id=754210 &