SlideShare una empresa de Scribd logo

Mitigación de denegaciones de servicio en DNS con RRL

Descargar como PPTX, PDF
Carlos Martinez Cagnazzo
Carlos Martinez Cagnazzo

Este documento describe cómo los ataques de amplificación de DNS pueden usarse para realizar ataques DDoS y cómo la limitación de tasas (rate limiting) puede ayudar a mitigarlos. Los ataques de amplificación aprovechan los servidores DNS abiertos para enviar consultas pequeñas que generan respuestas mucho más grandes dirigidas a la víctima, amplificando enormemente el tráfico. La limitación de tasas permite restringir la cantidad de tráfico entrante por cliente DNS para prevenir este tipo de ataques.

Tecnología
1 de 20
Mitigación de ataques via DNS usando Rate Limiting (RRL) Carlos Martínez-Cagnazzo @carlosm3011
Agenda • Seguridad en DNS / DNSSEC • Amenazas al DNS mas allá del DNSSEC • Ataques de amplificación • Rate limiting • Ejemplo
El sistema de nombres de dominio (DNS) Raíz (.) TLD dom1.TLD TLD TLD TLD .com.TLD dom1.com. TLD dom2.com. TLD .net.TLD
Estructura de un nombre de dominio • Comentarios: – Los niveles del árbol reflejan las divisiones administrativas – El root del arbol esta siempre presente de forma ímplicita – Restricciones: • 127 niveles, 63 caracteres por etiqueta – Los niveles superiores “delegan” hacia los inferiores www.adinet.com.uy . 4to nivel | 3er nivel | 2do nivel | 1er nivel | Raíz Raíz del árbol DNSTLD 2do Hostname 3er
Consultas DNS (recursión, caching) “resolver” local (stub) DNS recursivo local Otros servidores autoritativos
Seguridad: vectores de ataque en DNS
Seguridad en DNS: DNSSEC • DNS Security Extensions (RFCs 4033, 4034, 4035) • DNSSEC nos protege de situaciones de corrupción y del spoofing de datos*** – Por ejemplo de ataques de tipo man-in-the-middle • Proporciona un mecanismo para poder validar la autenticidad y la integridad de los datos contenidos en una respuesta DNS – Introduce firmas digitales en las respuestas • Proporciona un mecanismo para publicar claves públicas en las mismas zonas DNS y para construir cadenas de confianza hacia un ancla de confianza – El ancla de confianza reside en la propia zona raíz
Ataques DoS via amplificación de DNS • En un ataque de DoS la víctima recibe un flujo de tráfico muy grande, mayor de lo que sus recursos le permiten manejar – Flujos de tráfico ICMP o UDP • Se conocen diferentes técnicas – Reflexión en el broadcast – Uso de botnets – Amplificación de DNS • ¿Por qué? – Abundancia de open resolvers: abundancia de vectores – Tráfico UDP: spoofing sencillo – El protocolo en sí permite lograr amplificación del tráfico
DNS Server (Atacante) Víctima Nube de Open Resolvers Atacante Ataques DoS via amplificación de DNS (i) Q1? (recursiva) Q1? (auth) R1? (auth) Al final de esta fase, los recursivos abiertos tienen en su cache los RRs grandes
Amplificación de tráfico DNS • Factor de amplificación: – 100 bytes de R frente a 20 bytes de P – Factor de amplifcación de 5 • Ejemplo 1: – dig @8.8.8.8 aaaa www.lacnic.net – Tamaño de la pregunta: xxx*** – Tamaño de la respuesta: yyy*** – Factor de amplificación: z*** • Ejemplo 2: – dig @8.8.8.8 txt dnsamp.labs.lacnic.net – Factor de amplifación: z*** Famp = Srespuesta Spregunta
Los open resolvers en los ataques de amplificación • Un open resolver es un servidor DNS que responde preguntas a a cualquier servidor en internet, en particular consultas recursivas • Consultas ANY – Devuelven cualquier tipo de registros para el nombre consultado • Los open resolvers hacen muy sencillo el montar ataques de amplificación – Aunque también es posible lograr amplificación con servidores autoritativos • De donde surgen los OR? – Servidores DNS mal configurados – Routers hogareños que implementan DNS recursivo
Ejemplos de factores de amplificación • dig A www.google.com, F=(112/32)=3.5 • [medición usando tcpdump –i0 –s500 host <ip dns srv>]
Ejemplos de factores de amplificación • dig txt dnsamp.lacnic19.lacnic.net , F=(1499/44)=34.06 • [medición usando tcpdump –i0 –s1500 udp and host <ip dns srv>]
Ejemplos recientes • Ataque contra SpamHaus – X***
Demo de amplificación • <<Demo>>
Estrategias de mitigación • Preventivas – Los operadores de red deberían tratar de evitar la proliferación de open resolvers • Configurando los CPEs apropiadamente • Educando a los usuarios que deciden correr su propio servidor de nombres • Reactivas – ¿Que medidas pueden implementarse en un servidor DNS de producción? • Deshabilitar las consulas ANY • Forzar el uso de TCP para algunos clientes (evita el spoofing) • Implementar limitación de tráfico (Rate Limiting)
¡Muchas gracias por su atención!

Recomendados

Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Yeni ChT
 
Protocolo dns analizado con wireshark
Protocolo dns analizado con wiresharkProtocolo dns analizado con wireshark
Protocolo dns analizado con wireshark123
 
Procesos de resolucion de nombre
Procesos de resolucion de nombreProcesos de resolucion de nombre
Procesos de resolucion de nombrejacinxxx
 
Proceso de resolución de nombres dns & netbios
Proceso de resolución de nombres dns & netbiosProceso de resolución de nombres dns & netbios
Proceso de resolución de nombres dns & netbiosYufri Soto
 
Proceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsProceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsSaul Curitomay
 
Proceso de resolución de nombres dns netbios
Proceso de resolución de nombres dns netbiosProceso de resolución de nombres dns netbios
Proceso de resolución de nombres dns netbioscesartg65
 
DNS. Resolucion de Nombres
DNS. Resolucion de NombresDNS. Resolucion de Nombres
DNS. Resolucion de NombresJavier Teran
 
Dns
DnsDns
DnsSantiago Tixilema
 

Recomendados

Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Comandos “nslookup”, “host” y “dig”
Comandos “nslookup”, “host” y “dig”Yeni ChT
 
Protocolo dns analizado con wireshark
Protocolo dns analizado con wiresharkProtocolo dns analizado con wireshark
Protocolo dns analizado con wireshark123
 
Procesos de resolucion de nombre
Procesos de resolucion de nombreProcesos de resolucion de nombre
Procesos de resolucion de nombrejacinxxx
 
Proceso de resolución de nombres dns & netbios
Proceso de resolución de nombres dns & netbiosProceso de resolución de nombres dns & netbios
Proceso de resolución de nombres dns & netbiosYufri Soto
 
Proceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsProceso de resolución de nombres de dominio dns
Proceso de resolución de nombres de dominio dnsSaul Curitomay
 
Proceso de resolución de nombres dns netbios
Proceso de resolución de nombres dns netbiosProceso de resolución de nombres dns netbios
Proceso de resolución de nombres dns netbioscesartg65
 
DNS. Resolucion de Nombres
DNS. Resolucion de NombresDNS. Resolucion de Nombres
DNS. Resolucion de NombresJavier Teran
 
Dns
DnsDns
DnsSantiago Tixilema
 
Protocolo dns
Protocolo dnsProtocolo dns
Protocolo dnsCarlos J. Brito Abundis
 
17 berkeley internet name domain
17 berkeley internet name domain17 berkeley internet name domain
17 berkeley internet name domainjosemanuelacostarendon
 
Nslookup
NslookupNslookup
NslookupRocio Vicente Navas
 
Dns
DnsDns
DnsLuna Hermes
 
Resolucion de nombres dns
Resolucion de nombres dnsResolucion de nombres dns
Resolucion de nombres dnsCarlos Iberico
 
Servidor DNS
Servidor DNSServidor DNS
Servidor DNSProf. Janeth Piscoya
 
DNS
DNSDNS
DNSwillmer
 
Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Damián Rotta
 
Servidor DNS
Servidor DNSServidor DNS
Servidor DNSQuispe Quichca Edgar Juan
 
Dns
DnsDns
DnsOscar Mauricio
 
Dns
DnsDns
Dnspayaya
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas Taringa!
 
Clase25 otros servicios.html
Clase25 otros servicios.htmlClase25 otros servicios.html
Clase25 otros servicios.htmlJuan Rueda Bermudez
 
Presentación1 DNS
Presentación1 DNSPresentación1 DNS
Presentación1 DNSCarlos Higuera
 
Aprende a montar tu propio servidor Web con Linux & LAMP stack
Aprende a montar tu propio servidor Web con Linux & LAMP stackAprende a montar tu propio servidor Web con Linux & LAMP stack
Aprende a montar tu propio servidor Web con Linux & LAMP stackBernardo Ronquillo Japón
 
Comandos linux
Comandos linuxComandos linux
Comandos linuxIsaac Rabadán
 
Dns
DnsDns
DnsJefferson Palacios
 
Informatica
InformaticaInformatica
InformaticaMagoliax
 
Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vacaAnita Vaca
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1Sergim
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 

Más contenido relacionado

La actualidad más candente

Resolucion de nombres dns
Resolucion de nombres dnsResolucion de nombres dns
Resolucion de nombres dnsCarlos Iberico
 
Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Damián Rotta
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas Taringa!
 
Aprende a montar tu propio servidor Web con Linux & LAMP stack
Aprende a montar tu propio servidor Web con Linux & LAMP stackAprende a montar tu propio servidor Web con Linux & LAMP stack
Aprende a montar tu propio servidor Web con Linux & LAMP stackBernardo Ronquillo Japón
 
Informatica
InformaticaInformatica
InformaticaMagoliax
 

La actualidad más candente (18)

Protocolo dns
Protocolo dnsProtocolo dns
Protocolo dns
 
17 berkeley internet name domain
17 berkeley internet name domain17 berkeley internet name domain
17 berkeley internet name domain
 
Nslookup
NslookupNslookup
Nslookup
 
Dns
DnsDns
Dns
 
Resolucion de nombres dns
Resolucion de nombres dnsResolucion de nombres dns
Resolucion de nombres dns
 
Servidor DNS
Servidor DNSServidor DNS
Servidor DNS
 
DNS
DNSDNS
DNS
 
Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)Capa de aplicación (dns y ftp)
Capa de aplicación (dns y ftp)
 
Servidor DNS
Servidor DNSServidor DNS
Servidor DNS
 
Dns
DnsDns
Dns
 
Dns
DnsDns
Dns
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 
Clase25 otros servicios.html
Clase25 otros servicios.htmlClase25 otros servicios.html
Clase25 otros servicios.html
 
Presentación1 DNS
Presentación1 DNSPresentación1 DNS
Presentación1 DNS
 
Aprende a montar tu propio servidor Web con Linux & LAMP stack
Aprende a montar tu propio servidor Web con Linux & LAMP stackAprende a montar tu propio servidor Web con Linux & LAMP stack
Aprende a montar tu propio servidor Web con Linux & LAMP stack
 
Comandos linux
Comandos linuxComandos linux
Comandos linux
 
Dns
DnsDns
Dns
 
Informatica
InformaticaInformatica
Informatica
 

Similar a Mitigación de denegaciones de servicio en DNS con RRL

Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vacaAnita Vaca
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1Sergim
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptRuben Tobar
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptRuben Tobar
 
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...Alejandro Pisanty
 

Similar a Mitigación de denegaciones de servicio en DNS con RRL (20)

Dns anita vaca
Dns anita vacaDns anita vaca
Dns anita vaca
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanish
 
11 dns windows_asoitsonp
11 dns windows_asoitsonp11 dns windows_asoitsonp
11 dns windows_asoitsonp
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.ppt
 
Clase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.pptClase25-OtrosServicios.html.ppt
Clase25-OtrosServicios.html.ppt
 
Implementación de DNS
Implementación de DNS Implementación de DNS
Implementación de DNS
 
Herramientas bind
Herramientas bindHerramientas bind
Herramientas bind
 
Domain name system
Domain name systemDomain name system
Domain name system
 
DNS cliente servidor
DNS cliente servidorDNS cliente servidor
DNS cliente servidor
 
Damianymarceloquezada
DamianymarceloquezadaDamianymarceloquezada
Damianymarceloquezada
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
 
Sesión 4.- DNS.pdf
Sesión 4.- DNS.pdfSesión 4.- DNS.pdf
Sesión 4.- DNS.pdf
 
Servicios dns
Servicios dnsServicios dns
Servicios dns
 
DNS
DNSDNS
DNS
 
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...
Estabilidad, seguridad y robustez del DNS (sistema de nombres de dominio de I...
 
DnsSec
DnsSecDnsSec
DnsSec
 
Dns
DnsDns
Dns
 
Dns
DnsDns
Dns
 

Más de Carlos Martinez Cagnazzo

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Carlos Martinez Cagnazzo
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICCarlos Martinez Cagnazzo
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersCarlos Martinez Cagnazzo
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Carlos Martinez Cagnazzo
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECCarlos Martinez Cagnazzo
 
Introduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetIntroduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetCarlos Martinez Cagnazzo
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para TraductoresCarlos Martinez Cagnazzo
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoCarlos Martinez Cagnazzo
 

Más de Carlos Martinez Cagnazzo (20)

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
 
RPKI en America Latina y el Caribe
RPKI en America Latina y el CaribeRPKI en America Latina y el Caribe
RPKI en America Latina y el Caribe
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident Responders
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28
 
IPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size AnalysisIPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size Analysis
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSEC
 
Internet of Things en el Dia de Internet
Internet of Things en el Dia de InternetInternet of Things en el Dia de Internet
Internet of Things en el Dia de Internet
 
Monitoreo de Red para Peering
Monitoreo de Red para PeeringMonitoreo de Red para Peering
Monitoreo de Red para Peering
 
An IPv6 Primer
An IPv6 PrimerAn IPv6 Primer
An IPv6 Primer
 
Introduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetIntroduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de Internet
 
Enabling IPv6 Services Transparently
Enabling IPv6 Services TransparentlyEnabling IPv6 Services Transparently
Enabling IPv6 Services Transparently
 
LACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 WorldLACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 World
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para Traductores
 
An Overview of DNSSEC
An Overview of DNSSECAn Overview of DNSSEC
An Overview of DNSSEC
 
An Overview of RPKI
An Overview of RPKIAn Overview of RPKI
An Overview of RPKI
 
IPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPsIPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPs
 
Una introduccion a IPv6
Una introduccion a IPv6Una introduccion a IPv6
Una introduccion a IPv6
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (11)

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Mitigación de denegaciones de servicio en DNS con RRL

  • 1. Mitigación de ataques via DNS usando Rate Limiting (RRL) Carlos Martínez-Cagnazzo @carlosm3011
  • 2. Agenda • Seguridad en DNS / DNSSEC • Amenazas al DNS mas allá del DNSSEC • Ataques de amplificación • Rate limiting • Ejemplo
  • 3. El sistema de nombres de dominio (DNS) Raíz (.) TLD dom1.TLD TLD TLD TLD .com.TLD dom1.com. TLD dom2.com. TLD .net.TLD
  • 4. Estructura de un nombre de dominio • Comentarios: – Los niveles del árbol reflejan las divisiones administrativas – El root del arbol esta siempre presente de forma ímplicita – Restricciones: • 127 niveles, 63 caracteres por etiqueta – Los niveles superiores “delegan” hacia los inferiores www.adinet.com.uy . 4to nivel | 3er nivel | 2do nivel | 1er nivel | Raíz Raíz del árbol DNSTLD 2do Hostname 3er
  • 5. Consultas DNS (recursión, caching) “resolver” local (stub) DNS recursivo local Otros servidores autoritativos
  • 6. Seguridad: vectores de ataque en DNS
  • 7. Seguridad en DNS: DNSSEC • DNS Security Extensions (RFCs 4033, 4034, 4035) • DNSSEC nos protege de situaciones de corrupción y del spoofing de datos*** – Por ejemplo de ataques de tipo man-in-the-middle • Proporciona un mecanismo para poder validar la autenticidad y la integridad de los datos contenidos en una respuesta DNS – Introduce firmas digitales en las respuestas • Proporciona un mecanismo para publicar claves públicas en las mismas zonas DNS y para construir cadenas de confianza hacia un ancla de confianza – El ancla de confianza reside en la propia zona raíz
  • 8. Ataques DoS via amplificación de DNS • En un ataque de DoS la víctima recibe un flujo de tráfico muy grande, mayor de lo que sus recursos le permiten manejar – Flujos de tráfico ICMP o UDP • Se conocen diferentes técnicas – Reflexión en el broadcast – Uso de botnets – Amplificación de DNS • ¿Por qué? – Abundancia de open resolvers: abundancia de vectores – Tráfico UDP: spoofing sencillo – El protocolo en sí permite lograr amplificación del tráfico
  • 9. DNS Server (Atacante) Víctima Nube de Open Resolvers Atacante Ataques DoS via amplificación de DNS (i) Q1? (recursiva) Q1? (auth) R1? (auth) Al final de esta fase, los recursivos abiertos tienen en su cache los RRs grandes
  • 10. Amplificación de tráfico DNS • Factor de amplificación: – 100 bytes de R frente a 20 bytes de P – Factor de amplifcación de 5 • Ejemplo 1: – dig @8.8.8.8 aaaa www.lacnic.net – Tamaño de la pregunta: xxx*** – Tamaño de la respuesta: yyy*** – Factor de amplificación: z*** • Ejemplo 2: – dig @8.8.8.8 txt dnsamp.labs.lacnic.net – Factor de amplifación: z*** Famp = Srespuesta Spregunta
  • 11. Los open resolvers en los ataques de amplificación • Un open resolver es un servidor DNS que responde preguntas a a cualquier servidor en internet, en particular consultas recursivas • Consultas ANY – Devuelven cualquier tipo de registros para el nombre consultado • Los open resolvers hacen muy sencillo el montar ataques de amplificación – Aunque también es posible lograr amplificación con servidores autoritativos • De donde surgen los OR? – Servidores DNS mal configurados – Routers hogareños que implementan DNS recursivo
  • 12. Ejemplos de factores de amplificación • dig A www.google.com, F=(112/32)=3.5 • [medición usando tcpdump –i0 –s500 host <ip dns srv>]
  • 13. Ejemplos de factores de amplificación • dig txt dnsamp.lacnic19.lacnic.net , F=(1499/44)=34.06 • [medición usando tcpdump –i0 –s1500 udp and host <ip dns srv>]
  • 14.
  • 15.
  • 16. Ejemplos recientes • Ataque contra SpamHaus – X***
  • 18. Estrategias de mitigación • Preventivas – Los operadores de red deberían tratar de evitar la proliferación de open resolvers • Configurando los CPEs apropiadamente • Educando a los usuarios que deciden correr su propio servidor de nombres • Reactivas – ¿Que medidas pueden implementarse en un servidor DNS de producción? • Deshabilitar las consulas ANY • Forzar el uso de TCP para algunos clientes (evita el spoofing) • Implementar limitación de tráfico (Rate Limiting)
  • 19.
  • 20. ¡Muchas gracias por su atención!

Notas del editor

  1. Palabras clave paraestapresentación:RecursiónCachéTiempo de vidaTCP vs UDP
  2. DoS: denial of service