Ataques de amplificação de DNS e recomendações CERT.BR

attack

Um ataque de amplificação de DNS é uma forma popular de DDoS (Distributed Denial of  Service), ou ataque de negação de serviço  distribuído, que se baseia no acesso a  servidores DNS recursivos abertos, sobrecarregando a vítima com tráfego DNS de  resposta. Veja  detalhes sobre o ataque em Características do Ataque de Negação de  Serviço Abusando de Servidores DNS Recursivos Abertos – CERT.br.

O servidor DNS recursivo configurado incorretamente pode ser explorado e utilizado em  ataques DDoS. Existem ferramentas online  gratuitas que permitem verificar se seu servidor DNS recursivo está aberto, segue lista recomendada pelo CERT.br:

  • Measurement Factory Open Resolver Test
    Measurement Factory é uma organização que conduz diversas pesquisas na área de DNS, entre outras. Uma delas é um mapeamento dos servidores DNS recursivos abertos na Internet. Os servidores já testados pelo projeto podem ser consultados via Web ou via DNS, como descrito a seguir.

    • Interface Web
      http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl
    • Consulta DNS
      Para consultar, por exemplo, se o IP 192.0.2.1 está listado, basta executar na linha de comando:
      $ dig +short 1.2.0.192.dnsbl.openresolvers.org
      Se a resposta for 127.0.0.2, significa que é um DNS recursivo aberto. Se a resposta for NXDomain, significa que o servidor não é aberto ou não foi testado.
      Se o comando dig não estiver disponível no sistema, uma consulta semelhante pode ser feita via nslookup ou host.

    Para forçar que um servidor DNS seja testado novamente pelo Measurement Factory, basta executar, deste servidor, a seguinte linha de comando:
    $ telnet dns-surveyor.measurement-factory.com 999

  • DNS Validation Tools
    http://dns.measurement-factory.com/tools/third-party-validation-tools/
  • Open DNS Resolver Project
    http://openresolverproject.org/

Veja sugestões de mitigação e maiores informações sobre o ataque no artigo: Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos – CERT.br