Skip to main content

Tome más medidas para prevenir ataques DDoS en el DNS

Dave Piscitello, en representación del Equipo de Seguridad de la ICANN

Durante estas últimas semanas varias organizaciones e instituciones financieras muy reconocidas han sido el blanco de ataques masivos para la interrupción de sus servicios. Muchos de estos ataques tienen características similares a los ataques realizados en el 2006 contra los servidores de los nombres de dominio de alto nivel. El Comité Asesor de Seguridad y Estabilidad de la ICANN publicó un Informe, SAC008 [PDF, 963 KB]: Ataques Distribuidos de Denegación de Servicios (DDoS), poco tiempo después de los incidentes ocurridos en el 2006. Las recomendaciones incluidas en ese informe continúan siendo importantes al día de hoy.

Alentamos a las organizaciones privadas, operadores de servicios y gobiernos para que analicen detenidamente las recomendaciones incluidas en el Informe SAC 008, el cual describe los medios más populares para reducir los ataques DDoS.

“La forma más efectiva de reducir los efectos causados por… varios ataques DoS es verificar la dirección IP de origen” – SAC008

Generalmente, los ataques DDoS utilizan direcciones IP que no están asignadas al subscriptor o direcciones IP pertenecientes a espacios reservados o privados para que resulte difícil identificar el origen del tráfico de los ataques. A esto se le llama falsificación (spoofing) de direcciones IP. Para prevenir la falsificación (spoofing), las corporaciones o proveedores de servicios de acceso deberían aplicar filtros de ingreso a las redes (descrito en el Informe SAC004 y recomendado por el Comité de Arquitectura de Internet (IAB) BCP038). La eliminación del tráfico de ataques desde su raíz tiene el beneficio adicional de evitar que los ISP reenvíen tráfico malicioso o delictivo. Todos se benefician cuando los operadores filtran las direcciones de origen falsificadas (spoofed), salvo los futuros posibles atacantes.

“Documente las políticas operativas relacionadas a medidas de respuesta… para poder proteger [sus] infraestructuras de servidores de nombres de ataques que ponen en peligro su capacidad para ofrecer un servicio, avise cuando implemente tales medidas e identifique las acciones que las partes afectadas deben implementar para que estas se cumplan”. – SAC008

Hace poco escribí un artículo llamado Preparándonos para el (inevitable) ataque DDoS, que describe cómo desarrollar políticas y preparar una respuesta al ataque en el caso de que su organización fuese atacada.

“desactive la opción de recurrencia abierta para fuentes externas en los servidores de nombres y acepte las consultas del DNS que son únicamente de parte de fuentes de confianza, para ayudar a reducir los vectores de ampliación de los ataques DDoS en el DNS – SAC008

Cuando la opción de recurrencia abierta se encuentra activa en un servidor del DNS, ese servidor aceptará consultas del DNS que son de parte de cualquier cliente (cualquier dirección IP de origen). Los atacantes aprovechan al máximo los servidores recursivos abiertos en sus ataques DDoS y ataques amplificados. La Alerta TA13-088A del US-CERT le recomienda a todos los operadores del DNS lo siguiente:

  • Desactive la opción de recurrencia en servidores de nombres autoritativos
  • Limite la recurrencia a clientes autorizados y
  • Limite la cantidad de respuestas de los servidores de nombres recursivos

La Alerta TA13-088A también describe maneras para que cada organización evalúe si alguno de sus servidores de nombres son resoluciones abiertas y también incluye fuentes en donde se explica cómo se puede hacer esto en sistemas operativos principales y en software de servidores de nombres. (Nota: TA13-088A no presenta un recurso para el servidor del DNS de Microsoft, consulte aquí.)

El Equipo de Seguridad de la ICANN los alienta para ayudar a mitigar esta amenaza a la seguridad, estabilidad y flexibilidad que está creciendo.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."