ataques a dns

Como proteger a sua empresa dos 10 principais ataques ao DNS

Navegar na internet é uma atividade absolutamente corriqueira. A gente nem pensa muito: escreve o que está procurando no navegador e ele faz o restante do trabalho. Isso é possível graças ao Domain Name System (DNS, Sistema de Nome de Domínio).

Ele é o responsável por traduzir os nomes existentes nos domínios para seus respectivos endereços Internet Protocol (IP). Apesar de tão poderoso, o DNS tem muitas vulnerabilidades — principalmente em razão de erros de configuração.

Há muitos tipos de ataques ao DNS e eles atingem, diariamente, milhares de empresas e sistemas ao redor do mundo. Continue lendo para saber mais sobre as ameaças que ele pode sofrer e como se prevenir contra elas. Boa leitura!

1. Ataque DoS de Reflexão Distribuída  (DRDoS)

Imagine várias consultas falsas — criadas para provocar uma resposta muito grande — sendo enviadas para vários servidores recursivos abertos. É assim que este ataque funciona, usando resolvedores de terceiros ou servidores DNS autoritativos (que se tornam cúmplices involuntários).

Poderoso, seu estrago atinge servidores em massa: várias máquinas são usadas ao mesmo tempo para criar centenas ou milhares de gigabits de tráfego por segundo.

2. Envenenamento de cache (DNS Poisoning)

Este golpe usa um código malicioso que intercepta e redireciona requisições feitas pelo usuário. Elas são, então, enviadas a uma página controlada pelo criminoso. Lá, o usuário é levado a inserir informações confidenciais (número de documentos, cartões de crédito, logins e senhas, entre outros).

Apesar de ser um golpe simples, pode fazer um grande estrago: se o usuário estiver tentando entrar no site do seu banco, por exemplo, é possível que os dados da página estejam no cache (a memória temporária que torna a navegação mais rápida). Como as informações da página serão as mesmas, vai ser difícil perceber a armadilha.

3. Inundação SYN (Syn Flood)

A ideia é causar uma sobrecarga direta na camada de transporte e indireta na camada de aplicação. Para isso, o golpista envia uma sequência de requisições SYN ao sistema. Quando o servidor recebe o pedido do cliente, eles trocam três mensagens (o 3-way handshake).

Como o protocolo está errado e incompleto, a última mensagem não chega e é substituída pelo pacote SYN falso. Assim, a fila de conexões fica cheia ou são usados os softwares licenciados por conexão (o que aumenta a quantidade de conexões ativas). Como o servidor não consegue processar todas as conexões, ele para de responder a novas solicitações vindas de usuários legítimos.

4. Sequestro de DNS (DNS Hijacking)

Ao tentar entrar em um site legítimo, o usuário é redirecionado para um endereço falso — cujas informações de registro do domínio foram definidas para apontar para um servidor DNS falso ou invasor.

Muito usado por malwares em computadores e, em caso de redes domésticas, diretamente nos roteadores, apresenta um site muito parecido com o real, mas que é controlado pelo golpista com o intuito de conseguir logins, senhas e outros dados.

5. NX domain básico

Neste tipo de ataque, os atores principais são nomes de domínio inexistentes (os NX domains). O atacante envia várias consultas ao servidor DNS para resolvê-los e, enquanto o servidor recursivo tenta localizá-los (mas não consegue), o cache é preenchido com resultados NX domain.

Quando o cache fica cheio, a resolução de nomes requer mais recursos de máquina, o que aumenta o tempo de resposta para solicitações legítimas ao servidor DNS.

6. Domínio-fantasma

Neste ataque, vários domínios-fantasma são configurados e o DNS é forçado a resolvê-los. Como eles não respondem — ou o fazem muito lentamente —, o servidor consome recursos enquanto espera por respostas e isso, inevitavelmente, leva à degradação do desempenho ou ao fracasso de consultas pendentes.

7. Tunelamento de DNS (DNS Tunneling)

Esta técnica usa o DNS para esconder a comunicação e ignorar o firewall com o objetivo de obter dados internos de uma rede. O atacante pode, então, extrair informações ou inserir um novo código no malware existente. É usada, ainda, para contornar portais cativos e, assim, evitar pagar por serviços de Wi-Fi.

8. Subdomínio aleatório

Este golpe causa lentidão extrema no servidor autoritativo atingido. Isso ocorre porque o criminoso envia muitas consultas ao DNS com pedidos de domínios inexistentes gerados aleatoriamente. O servidor DNS recursivo fica esperando as respostas do autoritativo, mas como elas não vêm, o limite de consultas pendentes é esgotado.

9. Trava de domínio (Domain lock-up)

Na interação com os resolvedores DNS, os domínios enviam pacotes aleatórios para mantê-los ocupados. Esse processo é feito de forma deliberadamente lenta para manter os resolvedores envolvidos enquanto respondem às requisições. Assim, seus recursos ficam travados e acabam sendo exauridos porque o resolvedor DNS fica tentando estabelecer essas conexões com domínios inadequados.

10. Amplificação de DNS

O atacante se infiltra no DNS e, de lá, envia requisições para os servidores usando um IP forjado (o da vítima). É um ataque do tipo Distributed Denial of Service (DDoS) e os servidores passam a responder diretamente para o falso cliente. Em larga escala, um ataque do tipo consegue derrubar servidores.

Como proteger seu DNS

A proteção do sistema DNS depende de um conjunto de soluções e práticas que variam de empresa para empresa. Para começar, é importante verificar as configurações-padrão do firewall e do roteador e, em seguida, reforçá-las. Conheça outras ações que podem ajudar:

Sistemas atualizados

É essencial que todos os softwares e sistemas operacionais relacionados com o serviço de DNS sejam mantidos atualizados e tenham todas as correções de segurança aplicadas.

Conta de domínio

É importante habilitar o token (two factor authentication, autenticação em duas etapas) e gerar códigos de segurança. Algumas empresas de gerenciamento permitem até que as alterações de DNS sejam travadas e o acesso ao painel administrativo para alguns IPs seja bloqueado.

DNSSEC

Para ter uma camada extra de segurança para o DNS, é essencial habilitar o DNSSEC. Isso reduz o risco de manipulação de dados e informações, já que garante autenticidade e integridade ao sistema ao verificar a assinatura dos registros feita pelas chaves públicas.

Access Control List (ACL)

Alguns softwares de DNS permitem usar ACL para bloquear ou limitar o acesso por IP. Se esta configuração estiver disponível, é importante usá-la.

Infraestrutura

Uma das formas de evitar que o servidor recursivo seja comprometido é separar as funcionalidades dos servidores recursivos daquelas dos autoritativos. É aconselhável, ainda, bloquear a saída de DNS no firewall para que somente o servidor recursivo possa se conectar externamente.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *