Um ataque de amplificação de DNS é uma forma popular de DDoS (Distributed Denial of Service), ou ataque de negação de serviço distribuído, que se baseia no acesso a servidores DNS recursivos abertos, sobrecarregando a vítima com tráfego DNS de resposta. Veja detalhes sobre o ataque em Características do Ataque de Negação de Serviço Abusando de Servidores DNS Recursivos Abertos – CERT.br.
O servidor DNS recursivo configurado incorretamente pode ser explorado e utilizado em ataques DDoS. Existem ferramentas online gratuitas que permitem verificar se seu servidor DNS recursivo está aberto, segue lista recomendada pelo CERT.br:
- Measurement Factory Open Resolver Test
A Measurement Factory é uma organização que conduz diversas pesquisas na área de DNS, entre outras. Uma delas é um mapeamento dos servidores DNS recursivos abertos na Internet. Os servidores já testados pelo projeto podem ser consultados via Web ou via DNS, como descrito a seguir.- Interface Web
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl - Consulta DNS
Para consultar, por exemplo, se o IP 192.0.2.1 está listado, basta executar na linha de comando:
$ dig +short 1.2.0.192.dnsbl.openresolvers.org
Se a resposta for 127.0.0.2, significa que é um DNS recursivo aberto. Se a resposta for NXDomain, significa que o servidor não é aberto ou não foi testado.
Se o comando dig não estiver disponível no sistema, uma consulta semelhante pode ser feita via nslookup ou host.
Para forçar que um servidor DNS seja testado novamente pelo Measurement Factory, basta executar, deste servidor, a seguinte linha de comando:
$ telnet dns-surveyor.measurement-factory.com 999 - Interface Web
- DNS Validation Tools
http://dns.measurement-factory.com/tools/third-party-validation-tools/ - Open DNS Resolver Project
http://openresolverproject.org/
Veja sugestões de mitigação e maiores informações sobre o ataque no artigo: Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos – CERT.br
