DNSBomb prende di mira l’infrastruttura critica di internet
Il panorama digitale è in continua evoluzione, e con esso aumentano anche le minacce per l’infrastruttura. L’ultima di queste è il DNSBomb, un attacco di tipo Distributed Denial of Service (DDoS) che sfrutta il traffico DNS per prendere di mira sistemi importanti di internet.
Come funziona il DNSBomb
Il DNSBomb sfrutta la natura ricorsiva dei resolver DNS per amplificare il traffico a livelli esponenziali. L’attacco avviene quando un aggressore invia query DNS malevole, che vengono riflesse dai resolver DNS in tutta la rete, causando un’enorme quantità di traffico diretto ai sistemi bersaglio.
Attacco di riflessione DNS
L’attacco di riflessione DNS è una tecnica in cui gli aggressori possono riflettere le loro query DNS malevole sui resolver DNS in tutta la rete.
Amplificazione del traffico
Il carattere ricorsivo della query amplifica la distribuzione del traffico a 8,7 Gbps, sovraccaricando l’infrastruttura bersaglio.
Sistemi bersaglio
I sistemi più vulnerabili sono i server DNS e le Content Delivery Networks (CDN), che distribuiscono il traffico su internet.
Analisi tecnica
Elaborazione delle query
L’elaborazione delle query DNS ben articolate sfrutta la natura ricorsiva dei resolver DNS, creando un effetto di amplificazione del traffico e aumentando notevolmente il volume delle query.
Fattore di amplificazione
È stato dimostrato sperimentalmente dai ricercatori dell’Università di Tsinghua che tutti i resolver DNS su internet sono vulnerabili all’abuso e possono essere sfruttati per lanciare attacchi DNSBomb più efficaci e efficienti di attacchi DoS precedenti.
Metriche di impatto
- Volume di traffico: fino a 8,7 Gbps, sufficiente a paralizzare anche le infrastrutture più robuste.
- Degradazione del servizio: l’attacco causa la perdita di pacchetti e aumenta la latenza, riducendo la qualità del servizio fornita agli utenti finali.
- Interruzione operativa: i server DNS e le CDN interessati hanno subito interruzioni operative, influenzando anche i servizi che dipendono da queste infrastrutture.
- Tipi di connessione: l’attacco si applica a entrambi i tipi di connessione stateless e stateful, tra cui TCP, UDP e QUIC.
Meccanismi di difesa
Il DNSBomb richiede una difesa multistrategia.
- Limitazione e filtraggio delle query: implementare filtri di rate sui DNS queries per mitigare il volume di traffico dannoso.
- Sicurezza del resolver DNS: rafforzare la sicurezza dei parametri del resolver DNS per evitare sfruttamenti.
- Aggiornamenti regolari: un meccanismo regolare di aggiornamento del software DNS è fondamentale per difendersi dalle vulnerabilità note.
Risposta del fornitore
Di conseguenza a questa ricerca, sono state progettate una serie di soluzioni efficaci e responsabilmente comunicate ai fornitori interessati. Questo lavoro ha portato all’assegnazione di 10 CVE-IDs per le vulnerabilità scoperte e alle patch di sicurezza da parte dei mantainer di BIND, Unbound, PowerDNS e Knot.
Per proteggersi dalle minacce DDoS, è importante comprendere il loro funzionamento e analizzare le tattiche attuali. Il SOCRadar Labs-DOS Resilience tool, disponibile gratuitamente, permette di valutare la resistenza del proprio dominio o subnet agli attacchi DDoS. Dopo aver valutato la resilienza DOS, è possibile utilizzare il modulo di gestione della superficie di attacco SOCRadar per prendere le azioni necessarie.
Per maggiori informazioni sui DDoS e i metodi di mitigazione, consultare il nostro post sul blog.
Il DNSBomb rappresenta un importante passo avanti nelle tecniche di attacco e non solo minaccia l’infrastruttura critica di internet, ma attira anche l’attenzione su di sé. È quindi fondamentale proteggere le informazioni dei sistemi organizzativi attraverso una comprensione tecnica e l’adozione di approcci di difesa solidi. È essenziale rimanere aggiornati sulle evoluzioni del settore, poiché la preoccupazione principale resta la disruption dell’integrità e dell’affidabilità dei nostri sistemi digitali.
Fonte: https://socradar.io/dnsbomb-a-new-dos-threat-targeting-critical-internet-infrastructure/
