O ataque de DNS ocorre quando um malfeitor compromete o DNS de uma rede ou o utiliza para conduzir um ataque mais amplo
Ataques de DSN são muito utilizados pelos hackers devido a fragilidade do próprio protocolo, contudo iremos mostrar como defender e prevenir o ataque.
Você tem proteção contra ataques de DNS?
Originalmente, o DNS foi projetado para responder às consultas de maneira eficiente e correta, não para questionar sua intenção.
Assim, o DNS é suscetível a ataques cibernéticos e possui vulnerabilidades reais.
O ataque de DNS ocorre quando um malfeitor compromete o DNS de uma rede ou o utiliza para conduzir um ataque mais amplo.
Um ataque de DNS bem elaborado pode causar o colapso de uma organização. Vamos continuar lendo os 10 principais tipos de ataque de DNS e como prevenir um ataque
Práticas recomendadas de segurança de DNS para proteger seu servidor DNS (lista de verificação)
1. Ataque de envenenamento de cache de DNS
O envenenamento de cache é um dos ataques mais comuns que visa direcionar os usuários para sites fraudulentos.
Por exemplo, usuários que acessam gmail.com por meio de seus navegadores da Web para verificar seus e- mails .
Além disso, o servidor DNS também está sendo envenenado, onde não apenas a página gmail.com é exposta, mas também uma página fraudulenta configurada pelos invasores, por exemplo, para recuperar o acesso à caixa de e-mail.
Portanto, quando os usuários acessarem o domínio correto, eles não perceberão que o site que estão visualizando não é real, mas um site fraudulento.
Como resultado, os cibercriminosos têm a oportunidade de aproveitar as técnicas de phishing para roubar informações de identificação e cartão de crédito.
Este ataque pode ter efeitos devastadores, dependendo de vários fatores, como o impacto do envenenamento de DNS, o objetivo do invasor etc.
Como prevenir?
Vários métodos estão disponíveis para prevenir ou resolver este ataque. Para iniciantes, configure os servidores DNS para que não dependam muito de relações de confiança com outros servidores DNS.
Ao fazer isso, os invasores terão mais dificuldade em degradar os servidores DNS de seus alvos. Você também pode evitar ataques de envenenamento de cache configurando os servidores de nome DNS para fazer o seguinte:
-Restringir ou limitar consultas recursivas.
-Armazene apenas os dados relacionados ao domínio solicitado.
-Retorne apenas informações específicas do domínio em resposta a uma consulta.
-Além disso, as organizações também podem usar ferramentas de envenenamento de cache para evitar surtos de envenenamento de cache.
2. Negação de Serviço de Reflexão Distribuída (DRDoS)
Os ataques de negação de serviço reflexiva distribuída (DRDoS) visam interromper a disponibilidade de um ativo específico enviando um número esmagador de confirmações UDP.Em alguns casos, um invasor pode enviar DNS, NTP etc. usando um IP de origem falsificado.
Usando o IP de origem parodiado, eles podem transferir uma confirmação mais abrangente para o host, que continua a operar sob o endereço forjado.Devido à falta de estado de conexão, o UDP é uma das melhores escolhas para esse tipo de ataque.
Como prevenir?
Os ataques DDoS são mais difíceis de responder quando estão em andamento, portanto, as organizações devem se preparar para eles com antecedência.
Você não pode impedir ataques DDoS, no entanto, existem métodos para dificultar a interrupção de uma rede por um invasor.
Usando as etapas abaixo, você pode espalhar ativos organizacionais para que um invasor não possa executar um único alvo profundo.
-Para começar, distribua os servidores entre diferentes centros de dados.
-Certifique-se de ter várias redes conectando seus centros de dados.
-Certifique-se de que haja vários caminhos que levam aos datacenters.
-Certifique-se de que não haja pontos únicos de falha ou brechas de segurança importantes em data centers ou redes conectadas.
-Em organizações que dependem de portas e servidores de internet, é crucial ter dispositivos distribuídos geograficamente e não localizados em um único data center.
-Além disso, se os recursos já foram distribuídos geograficamente, é necessário verificar se as estações de dados possuem mais de um canal para a internet e garantir que nem todas as estações de dados estejam conectadas ao mesmo provedor de serviços de internet.
3. Sequestro de DNS
O sequestro de DNS envolve o redirecionamento para um DNS (Sistema de Nomes de Domínio) questionável por um indivíduo.
No entanto, os invasores também conseguem isso instalando software malicioso ou alterando o servidor sem autorização.
Além disso, o indivíduo tem controle sobre o DNS; eles podem direcionar outras pessoas para uma página que parece idêntica, mas contém algum conteúdo extra, como anúncios. Além disso, podem direcionar os usuários para páginas ou mecanismos de pesquisa maliciosos.
Como prevenir?
Os servidores de nomes DNS são fundações compassivas que precisam de proteção devido à possibilidade de serem sequestrados e abusados por hackers para produzir ataques DDoS em outros. Listamos aqui algumas medidas de prevenção ao sequestro de DNS.
O servidor de nomes DNS serve como uma base compassiva que requer um certo nível de proteção, principalmente devido à possibilidade de ser sequestrado e utilizado por muitos hackers para lançar ataques DDoS sobre outros, então listamos algumas maneiras de prevenir o sequestro de DNS aqui.
-Verifique se há resolvedores em sua rede.
-Proteja um servidor de nomes restringindo o acesso.
-Tome medidas para evitar envenenamento de cache.
-Corrija as vulnerabilidades conhecidas instantaneamente.
-Assegure-se de que o servidor de nomes autorizado esteja separado do resolvedor.
-Evite alterações de zona.
4. Ataque de Domínio Fantasma
Os ataques a domínios fantasmas são semelhantes aos de subdomínios casuais. Nesse tipo de ataque, um invasor tenta explorar seu resolvedor de DNS e usar os recursos disponíveis.
Nos referimos a isso como domínios “fantasmas”, pois domínios fantasmas não respondem a consultas.
Um ataque dessa natureza visa principalmente fazer com que o servidor de resolução de DNS aguarde a resposta por um longo período de tempo. Assim, resultando em problemas ou falhas de desempenho do DNS.
Como prevenir?
Uma avaliação de suas mensagens de log pode ajudá-lo a detectar ataques de domínio fantasma. Além disso, você pode mitigar esse ataque seguindo as etapas abaixo.
-Adicionar mais clientes recursivos é o primeiro passo.
-Certifique-se de que as consultas recursivas sejam restritas por servidor e as consultas recursivas sejam restritas por zona.
-Permitir manter o servidor pressionado para solicitações não responsivas.
-Monitore consultas recursivas por zona.
5. Inundação TCP SYN
SYN Floods são tipos de ataques de negação de serviço (DDoS) que visam qualquer operação relacionada à Internet usando o Transmission Control Protocol (TCP).
Ondas SYN são tipos de ataques de exaustão de estado TCP que tentam utilizar as tabelas de elementos de conexão disponíveis em elementos de infraestrutura comuns.
Alguns exemplos são IPS (Intrusion Prevention System), firewalls, balanceadores de carga e o próprio servidor de utilização.
Portanto, esse ataque pode derrubar os dispositivos de alta capacidade capazes de gerenciar milhões de links.
Além disso, um ataque de inundação TCP SYN destrói um alvo inundando-o com perguntas SYN, portanto, ele não pode responder a solicitações de conexão reais.
Como prevenir?
Portanto, IPS e firewalls são necessários para a segurança da rede, mas não são suficientes para proteger contra ataques DDoS complexos.
À medida que os ataques se tornam mais sofisticados, os usuários precisam de um programa multifacetado que examine mais do que apenas os fundamentos da Internet e a disponibilidade de redes.
Com esses recursos, você pode efetivamente mitigar ataques de inundação TCP SYN e fornecer segurança DDoS mais poderosa.
Para evitar um único ponto de falha na rede, primeiro é necessário fornecer suporte adequado para implantação em linha e fora da banda.
As sofisticadas metodologias de ataque de hoje exigem um programa multifacetado que considere mais do que apenas a base da Internet e a disponibilidade da rede.
Ampla cobertura de rede, bem como a capacidade de examinar o tráfego de diferentes partes da rede.
Uma variedade de fontes de inteligência de ameaças, incluindo alertas de entrada personalizados, detecção de exceção orientada por dados e identificação de ameaças conhecidas com impressões digitais, garantindo detecção rápida e precisa.
6. Ataque aleatório de subdomínio
Esse tipo de ataque DNS não ocorre com muita frequência, mas acontece em algumas redes de tempos em tempos.
Como o objetivo dos ataques aleatórios de subdomínio é o mesmo dos ataques DoS simples, muitas vezes eles são identificados como ataques DoS.
Este ataque visa criar um DoS que afetará o servidor DNS autorizado pelo qual o nome de domínio primário é recebido, interrompendo assim as consultas de registros DNS.
O ataque é difícil de identificar, pois as consultas são enviadas por usuários infectados que nem sabem que estão enviando determinados tipos de consultas provenientes de usuários legítimos.
Como prevenir?
O método abaixo leva apenas 30 minutos para evitar um ataque de subdomínio aleatório.
Para começar, você precisará aprender como mitigar os ataques que resultam em uma grande quantidade de tráfego nos resolvedores e recursos da web que são links para as vítimas, que podem ser derrubados.
Em segundo lugar, aprenda sobre o Response Rate Limiting, um recurso moderno que preserva os especialistas em DNS que provocam ataques.
7. Tunelamento de DNS
Os 10 principais tipos de ataque de DNS e como prevenir um ataque DNS tunneling
Este ataque cibernético criptografa dados de vários aplicativos e os transmite dentro de confirmações de DNS.
Inicialmente, este sistema não foi projetado para atacar multidões, mas sim para ignorar os controles de interface. No entanto, os invasores o estão usando principalmente para ataques remotos.
Um ataque de encapsulamento de DNS requer acesso a um sistema estabelecido, juntamente com um nome de domínio, servidor DNS autoritativo e servidor DNS interno.
Como prevenir?
Aqui estão três etapas para mitigar esses ataques configurando um firewall para detectar o encapsulamento de DNS e bloqueá-lo.
-Configure uma regra de acesso.
-Faça um objeto de protocolo.
-Desenvolva uma regra de aplicação.
8. Ataque de inundação de DNS
Os 10 principais tipos de ataque de DNS e como evitar um ataque Ataque de inundação de DNS
É um dos tipos mais comuns de ataques DNS, neste tipo de ataque Distributed Denial of Service (DDoS) o intruso ataca seus servidores DNS.
Esse tipo de inundação de DNS tem a intenção principal de sobrecarregar completamente o servidor, tornando-o incapaz de atender às solicitações de DNS porque os registros de recursos são influenciados por todas as zonas de DNS tratadas.
O fato de que esses tipos de ataques geralmente se originam de um único endereço IP, portanto, são fáceis de mitigar.
No entanto, quando se trata de ataques DDoS que envolvem centenas ou milhares de reuniões, pode se tornar mais complexo.
Muitas vezes, muitas perguntas legítimas são interpretadas como bugs maliciosos, dificultando a mitigação do problema.
Como prevenir?
Tornou-se mais fácil para os ataques DDoS atingirem sistemas de nome de domínio (DNS). O DNS torna-se inacessível quando está sob um ataque de inundação DDoS, resultando na indisponibilidade de nomes de domínio.
Certifique-se de que seu resolvedor de DNS seja privado – certifique-se de que usuários externos não possam acessar seu resolvedor.
Para evitar que criminosos cibernéticos externos contaminem seu cache, restrinja seu uso apenas a usuários da rede interna.
Aproveite os serviços de mitigação de DDoS – Você pode interromper a inundação de DNS DDoS usando um serviço de mitigação de DDoS terceirizado confiável. Isso pode ajudar a manter seus serviços DNS acessíveis, interrompendo o tráfego indesejado.
Implemente um sistema de gerenciamento de patches – Proteja os servidores de nomes de vulnerabilidades conhecidas, mantendo-os atualizados e corrigidos.
Invista em um servidor DNS dedicado – Ao hospedar DNS junto com servidores de aplicativos, pequenas organizações têm maior probabilidade de serem atacadas por ataques DDoS de inundação de DNS. A melhor maneira de gerenciar o DNS é usar um servidor dedicado.
Realize auditorias de DNS – Subdomínios desatualizados geralmente são esquecidos com o tempo. O uso de software antigo ou vulnerável pode deixar seu sistema vulnerável. Você pode identificar vulnerabilidades de DNS auditando regularmente as zonas de DNS.
9. Sequestro de domínio
Envolve a configuração do registrador de domínio e dos servidores DNS de forma a redirecionar o tráfego dos servidores atuais para os novos.
Muitos determinantes entram no sequestro de domínio, incluindo a exploração de vulnerabilidades do registrador, o controle dos registros DNS e a exploração de vulnerabilidades no sistema do registrador.
O invasor usa o nome de domínio sequestrado para iniciar atividades maliciosas, como a instalação de um sistema falso de Visa, PayPal ou banco.
Nesses ataques, os invasores replicam o site real para ler informações como nomes de usuário, senhas e endereços de e-mail.
Como prevenir?
As etapas a seguir ajudarão você a mitigar o sequestro de domínio.
-Atualize suas configurações de DNS na base do aplicativo.
-Acesso seguro.
-Use DNSSEC.
-Bloqueio lateral do cliente.
10. Ataques baseados em botnet
Esta é uma coleção de dispositivos conectados à Internet que os invasores usam para lançar ataques DDoS distribuídos, que roubam dados, enviam spam e permitem que os invasores obtenham acesso aos dispositivos.
Botnets são ataques e ferramentas para ataques futuros. Eles representam um conjunto diversificado de ameaças em evolução que continuarão a evoluir à medida que novas tecnologias e dispositivos digitais se tornarem mais comuns.
Como prevenir?
Veja como você pode mitigar esse tipo de ataque:
-Comece entendendo suas vulnerabilidades.
-Em seguida, verifique se os dispositivos IoT estão seguros.
-Distinga entre seus mitos e fatos de mitigação.
-Identificar, categorizar e controlar.
Conclusão
Neste artigo, expliquei todos os tipos de ataque de DNS possíveis e fornece dicas para evitar esse tipo de ataque.
O serviço DNS é crítico para manter seus sites de negócios e serviços online funcionando. Você deve usar os métodos preventivos acima se quiser evitar esses tipos de ataques de DNS, entre outras maneiras de melhorar ainda mais a segurança e resiliência do seu serviço de DNS.
Fonte: Cloud Infrastructure Services
Problemas no OCSP causa revogação de ACs Intermediárias. Por Adriano Frare
Criptografia Homomórfica. Por Adriano Frare
Relatório de Segurança de 1 milhão de sites. Por Adriano Frare
Sobre o Adriano V.L. Frare
Adriano V.L. Frare é graduado em Bacharelado em Matemática com ênfase em Processamento de Dados FSA – Centro Universitário Fundação Santo André, com curso de especialização na Universidade de Stanford na área de criptografia, detém certificações internacionais em ITIL, Ethical Hacking, LPI Linux Security e CISSP.
Nos últimos 15 anos vem desenvolvendo projetos na área de segurança da informação e certificação digital, onde trabalhou na iniciativa pública e privada.
Leia outros artigos de Adriano. Acesse aqui!
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.