Este documento describe cómo los ataques de amplificación de DNS pueden usarse para realizar ataques DDoS y cómo la limitación de tasas (rate limiting) puede ayudar a mitigarlos. Los ataques de amplificación aprovechan los servidores DNS abiertos para enviar consultas pequeñas que generan respuestas mucho más grandes dirigidas a la víctima, amplificando enormemente el tráfico. La limitación de tasas permite restringir la cantidad de tráfico entrante por cliente DNS para prevenir este tipo de ataques.

1. Mitigación de ataques
via DNS usando Rate
Limiting (RRL)
Carlos Martínez-Cagnazzo
@carlosm3011

2. Agenda
• Seguridad en DNS / DNSSEC
• Amenazas al DNS mas allá del DNSSEC
• Ataques de amplificación
• Rate limiting
• Ejemplo

3. El sistema de nombres de dominio (DNS)
Raíz (.)
TLD
dom1.TLD
TLD TLD TLD
.com.TLD
dom1.com.
TLD
dom2.com.
TLD
.net.TLD

4. Estructura de un nombre de dominio
• Comentarios:
– Los niveles del árbol reflejan las divisiones administrativas
– El root del arbol esta siempre presente de forma ímplicita
– Restricciones:
• 127 niveles, 63 caracteres por etiqueta
– Los niveles superiores “delegan” hacia los inferiores
www.adinet.com.uy .
4to nivel | 3er nivel | 2do nivel | 1er nivel | Raíz
Raíz del árbol
DNSTLD
2do
Hostname
3er

5. Consultas DNS (recursión, caching)
“resolver” local
(stub)
DNS recursivo
local
Otros
servidores
autoritativos

6. Seguridad: vectores de ataque en DNS

7. Seguridad en DNS: DNSSEC
• DNS Security Extensions (RFCs 4033, 4034, 4035)
• DNSSEC nos protege de situaciones de corrupción y del spoofing
de datos***
– Por ejemplo de ataques de tipo man-in-the-middle
• Proporciona un mecanismo para poder validar la autenticidad y
la integridad de los datos contenidos en una respuesta DNS
– Introduce firmas digitales en las respuestas
• Proporciona un mecanismo para publicar claves públicas en las
mismas zonas DNS y para construir cadenas de confianza hacia
un ancla de confianza
– El ancla de confianza reside en la propia zona raíz

8. Ataques DoS via amplificación de DNS
• En un ataque de DoS la víctima recibe un flujo de tráfico muy
grande, mayor de lo que sus recursos le permiten manejar
– Flujos de tráfico ICMP o UDP
• Se conocen diferentes técnicas
– Reflexión en el broadcast
– Uso de botnets
– Amplificación de DNS
• ¿Por qué?
– Abundancia de open resolvers: abundancia de vectores
– Tráfico UDP: spoofing sencillo
– El protocolo en sí permite lograr amplificación del tráfico

9. DNS Server
(Atacante)
Víctima
Nube de
Open Resolvers
Atacante
Ataques DoS via amplificación de DNS (i)
Q1? (recursiva)
Q1? (auth)
R1? (auth)
Al final de esta fase, los
recursivos abiertos tienen
en su cache los RRs
grandes

10. Amplificación de tráfico DNS
• Factor de amplificación:
– 100 bytes de R frente a 20 bytes de P
– Factor de amplifcación de 5
• Ejemplo 1:
– dig @8.8.8.8 aaaa www.lacnic.net
– Tamaño de la pregunta: xxx***
– Tamaño de la respuesta: yyy***
– Factor de amplificación: z***
• Ejemplo 2:
– dig @8.8.8.8 txt dnsamp.labs.lacnic.net
– Factor de amplifación: z***
Famp =
Srespuesta
Spregunta

11. Los open resolvers en los ataques de amplificación
• Un open resolver es un servidor DNS que responde preguntas a a
cualquier servidor en internet, en particular consultas recursivas
• Consultas ANY
– Devuelven cualquier tipo de registros para el nombre consultado
• Los open resolvers hacen muy sencillo el montar ataques de
amplificación
– Aunque también es posible lograr amplificación con servidores
autoritativos
• De donde surgen los OR?
– Servidores DNS mal configurados
– Routers hogareños que implementan DNS recursivo

12. Ejemplos de factores de amplificación
• dig A www.google.com, F=(112/32)=3.5
• [medición usando tcpdump –i0 –s500 host <ip dns srv>]

13. Ejemplos de factores de amplificación
• dig txt dnsamp.lacnic19.lacnic.net , F=(1499/44)=34.06
• [medición usando tcpdump –i0 –s1500 udp and host <ip dns
srv>]

16. Ejemplos recientes
• Ataque contra SpamHaus
– X***

17. Demo de amplificación
• <<Demo>>

18. Estrategias de mitigación
• Preventivas
– Los operadores de red deberían tratar de evitar la proliferación de
open resolvers
• Configurando los CPEs apropiadamente
• Educando a los usuarios que deciden correr su propio servidor de
nombres
• Reactivas
– ¿Que medidas pueden implementarse en un servidor DNS de
producción?
• Deshabilitar las consulas ANY
• Forzar el uso de TCP para algunos clientes (evita el spoofing)
• Implementar limitación de tráfico (Rate Limiting)

20. ¡Muchas gracias por su atención!