DNSBomb: nuevo ataque DoS práctico y potente

DNS emplea una variedad de mecanismos para garantizar la disponibilidad, proteger la seguridad y mejorar la confiabilidad. Sin embargo, en este paper investigadores de la Universidad Tsinghua de Pekín, revelan que estos mecanismos inherentes, incluidos el tiempo de espera, la agregación de consultas y la respuesta rápida, pueden transformarse en vectores de ataque maliciosos; y proponen un nuevo ataque DoS denominado DNSBomb [PDF / Github].

DNSBomb explota múltiples mecanismos de DNS ampliamente implementados para acumular consultas de DNS que se envían a baja velocidad, para amplificar las consultas en respuestas de gran tamaño y concentrar todas las respuestas de DNS en una ráfaga de pulsaciones periódicas, cortas y de gran volumen para saturar simultáneamente los sistemas de destino.

A través de una evaluación exhaustiva de 10 software de DNS convencionales, 46 servicios de DNS públicos y alrededor de 1,8 millones de solucionadores de DNS abiertos, la investigación demuestra que todos estos podrían explotarse para llevar a cabo ataques DNSBomb más prácticos y potentes que los ataques DoS conocidos anteriormente.

Experimentos a pequeña escala muestran que la magnitud máxima del pulso puede acercarse a 8,7 Gb/s y el factor de amplificación del ancho de banda podría superar las 20.000 veces. Los ataques controlados realizados provocan la pérdida total de paquetes o la degradación del servicio en conexiones con y sin estado (TCP, UDP y QUIC).

El paper además, presenta soluciones de mitigación efectivas con evaluaciones detalladas y los investigadores informaron  responsablemente sus hallazgos a todos los proveedores afectados y recibieron el reconocimiento de 24 de ellos, los cuales están parcheando su software utilizando las soluciones planteadas.

Se han asignado los siguientes CVE-ID:

La presentación se está haciendo en la conferencia 45th IEEE Symposium on Security and Privacy (Oakland)

FuenteDNSBomb

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.