Resolvendo Todos Os Problemas Do Windows E Outros Programas

Ataques de Spamhaus expõem enormes perigos de servidor DNS aberto

Ataques massivos de negação de serviço distribuídos ao Spamhaus nesta semana chamaram a atenção das enormes ameaças à segurança representadas por milhões de servidores DNS (Sistema de Nomes de Domínio da Internet) mal configurados.

Os ataques a Spamhaus que começaram em 19 de março foram aparentemente lançados por um grupo que se opõe ao trabalho antispam da organização voluntária sediada em Genebra, na Suíça.



Várias empresas de segurança descreveram os ataques à organização como os maiores - de longe - ataques DDoS publicamente conhecidos até hoje.



Em ataques DDoS, os hackers normalmente tentam derrubar uma rede direcionando enormes volumes de tráfego inútil para ela. O tráfego geralmente é gerado usando grandes botnets de computadores comprometidos.

Grandes ataques DDoS costumam envolver entre 4 gigabits por segundo e 10 Gbps de tráfego.



Os ataques de Spamhaus envolveram volumes de tráfego que alcançaram incríveis 300 Gbps - considerados três vezes maiores do que o maior tráfego DDoS visto até o momento e magnitudes maiores do que o tráfego envolvido na maioria dos ataques de negação de serviço anteriores.

data de lançamento do windows 10 1909

Os perpetradores por trás do ataque empregaram o método bem conhecido, mas raramente usado, reflexão de DNS para gerar o enorme fluxo de tráfego DDoS direcionado contra o Spamhaus.

Os servidores DNS são usados ​​principalmente para pesquisar e resolver nomes de domínio como www.computerworld.com e www.idg.com para seus endereços IP correspondentes. Se um servidor DNS não tiver as informações de domínio em seu banco de dados ou cache, ele consultará outros servidores DNS próximos para obter as informações.



Idealmente, os servidores DNS devem ser configurados apenas para lidar com solicitações de pesquisa provenientes de um domínio específico ou intervalo de endereços IP. Portanto, um servidor DNS pertencente a um ISP deve lidar apenas com as solicitações provenientes de seu intervalo de endereços IP.

Na realidade, no entanto, milhões de servidores DNS são configurados por padrão para serem resolvedores DNS abertos que aceitam e respondem a consultas de fora de seu próprio domínio, tornando-os vulneráveis ​​à exploração por invasores porque praticamente qualquer pessoa na Internet pode usar um servidor DNS aberto para lidar com consultas genuínas ou maliciosas.

Por exemplo, para gerar tráfego DDoS, os atacantes por trás do ataque Spamhaus enviaram consultas com um endereço de origem falsificado para dezenas de milhares de resolvedores DNS abertos, disse Matthew Prince, CEO da CloudFlare, que tem ajudado a Spamhaus a lidar com os ataques recentes.

As solicitações de pesquisa foram feitas para parecer que vieram do Spamhaus. Assim, as respostas às solicitações de dezenas de milhares de resolvedores de DNS abertos foram enviadas ao Spamhaus, gerando um grande volume de tráfego.

Para aumentar o volume de tráfego, os invasores elaboraram as consultas de pesquisa de maneira a fazer com que cada servidor DNS aberto respondesse com volumes de dados muito maiores do que o normal, disse Prince.

Ataques de negação de serviço que tiram proveito de resolvedores de DNS abertos não são novos.

Já em 2006, mais de 1.500 organizações em todo o mundo foram atingidas por uma série de ataques semelhantes, gerando grande preocupação por parte dos especialistas em segurança.

Então, como agora, muitos especialistas em segurança alertaram que os ISPs e outros servidores DNS que operam devem garantir que seus sistemas estejam configurados corretamente para evitar ataques como o lançado contra o Spamhaus. O problema continua tão difundido como sempre, apesar dos avisos, observam os especialistas hoje.

O Open DNS Resolver Project, um esforço de um grupo de especialistas em segurança para chamar a atenção para o problema, estima que haja atualmente cerca de 27 milhões de servidores DNS que são resolvedores abertos. Cerca de 25 milhões deles representam uma ameaça significativa, de acordo com o site do projeto.

De acordo com Prince, apenas 100.000 dos resolvedores abertos foram usados ​​para direcionar 300 Gbps de tráfego contra a organização. “O que é assustador aqui é que apenas uma pequena fração dos resolvedores abertos foi usada”, disse ele. Os invasores poderiam facilmente ter cooptado mais servidores DNS, observou Prince.

'Esta é uma situação em que algumas alterações de configuração no lado do servidor DNS podem ajudar a prevenir os ataques', disse Alex Cox, pesquisador principal de segurança da equipe FirstWatch da RSA Security.

Mas as mudanças necessárias são difíceis de obter sem uma ampla colaboração entre os ISPs. 'O problema com um ataque DNS é que você não pode realmente desligar seus servidores DNS' sem causar uma interrupção generalizada, disse Cox. 'Assim que tudo isso passar, será interessante ver como algumas das pessoas cuja infraestrutura foi usada irão reagir.'

Os autores dos ataques desta semana sabiam que o Spamhaus tinha uma boa infraestrutura para lidar com ataques de negação de serviço e, portanto, tinha que fazer algo realmente grande, disse Dan Holden, diretor da equipe de resposta de segurança e engenharia da Arbor Networks.

Esses ataques não são totalmente defensáveis, mas podem ser mitigados garantindo que os servidores DNS sejam configurados corretamente, disse ele. 'A boa notícia é que esses resolvedores de DNS abertos terão muito mais visibilidade' após os ataques, disse ele. 'Então, espero que o problema seja corrigido.'

Vários padrões estão prontamente disponíveis para ajudar os ISPs e outros que operam servidores DNS a configurar sistemas para garantir que eles respondam apenas às solicitações de seus próprios usuários, disse Mike Smith, diretor da equipe de resposta a incidentes de segurança do cliente da Akamai.

As operadoras de servidor DNS também precisam ter controles de filtragem de saída para garantir que o tráfego DNS que sai de suas redes se origine de dentro da rede, disse ele.

O Open DNS Resolver Project também pede aos operadores de servidor DNS que considerem a implementação de software de limitação de taxa para evitar o tipo de amplificação de tráfego que foi usado nos ataques de Spamhaus.

“Há coisas que precisam ser limpas. É por isso que precisamos estar cientes do problema ', disse Smith.

Jaikumar Vijayan cobre questões de segurança e privacidade de dados, segurança de serviços financeiros e votação eletrônica para Mundo de computador . Siga Jaikumar no Twitter em @jaivijayan ou assine o feed RSS da Jaikumar. Seu endereço de e-mail é jvijayan@computerworld.com .