Fecha de publicaci\u00f3n: Julio 7, 2014
\nFecha de modificaci\u00f3n: Julio 7, 2014
\nGravedad: ALTA
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.
\nFuente: CSIRT Panam\u00e1<\/p>\n
I. Descripci\u00f3n<\/p>\n
Un ataque de amplificaci\u00f3n o reflexi\u00f3n de servidor de nombres de dominio (DNS) es una forma popular de negaci\u00f3n de servicio distribuida (DDoS), en que los atacantes utilizan los servidores DNS abiertos p\u00fablicamente accesibles para inundar a la v\u00edctima con tr\u00e1fico de respuesta de DNS.<\/p>\n
La t\u00e9cnica principal consiste en que el atacante env\u00eda una petici\u00f3n de resoluci\u00f3n de nombre a un servidor DNS abierto con una direcci\u00f3n de origen falsa, correspondiente a la direcci\u00f3n de la v\u00edctima. Cuando el servidor DNS env\u00eda la respuesta, \u00e9sta es enviada a la v\u00edctima, en vez de al solicitante (el atacante). Esto se conoce como reflexi\u00f3n DNS. El atacante normalmente enviar\u00e1 la mayor solicitud de informaci\u00f3n de zona posible, para maximizar el efecto.<\/p>\n
La forma m\u00e1s com\u00fan de este ataque implica a servidores DNS mal configurados para permitir la resoluci\u00f3n recursiva sin restricciones para cualquier cliente en Internet (open resolver). Tambi\u00e9n pueden implicar a servidores de nombres autoritarios que no proporcionan resoluci\u00f3n recursiva, el m\u00e9todo de ataque es similar al de resolver recursivos abiertos, pero es m\u00e1s dif\u00edcil mitigar ya que incluso un servidor configurado con las mejores pr\u00e1cticas puede ser utilizado igualmente en un ataque. En el caso de servidores, autoritativos, la mitigaci\u00f3n debe centrarse en el uso de limitaci\u00f3n de velocidad de respuesta para restringir la cantidad de tr\u00e1fico.<\/p>\n
II. Impacto<\/p>\n
Vector de acceso: A trav\u00e9s de red.<\/p>\n
Complejidad de Acceso: Media.<\/p>\n
Autenticaci\u00f3n: No requerida para explotarla.<\/p>\n
Tipo de impacto: El servidor mal configurado que permite la resoluci\u00f3n recursiva sin restricci\u00f3n para cualquier cliente (Open Resolver) puede ser explotado para participar en un ataque de negaci\u00f3n distribuido (DDoS).<\/p>\n
III. Detecci\u00f3n<\/p>\n
Existen m\u00faltiples herramientas p\u00fablicas y gratuitas en la web para verificar los DNS de una red en busca de servidores DNS con resoluci\u00f3n de nombres recursiva vulnerable. Estas herramientas realizan un barrido de toda la red y listan la direcci\u00f3n de cualquier servidor identificado.<\/p>\n
http:\/\/www.dnsinspect.com
\nhttp:\/\/dns.measurement-factory.com\/surveys\/openresolvers.html
\nTambi\u00e9n se puede realizar la verificaci\u00f3n de forma manual con la instrucci\u00f3n dig de la siguiente forma:<\/p>\n
$ dig +short test.openresolver.com TXT @<servidor_dns><\/p>\n
Si no posee la instrucci\u00f3n dig, puede utilizar nslookup de la siguiente forma.<\/p>\n
$nslookup<\/p>\n
>server <servidor_dns><\/p>\n
>set type=TXT<\/p>\n
>test.openresolver.com<\/p>\n
III. Mitigaci\u00f3n<\/p>\n
Las configuraciones b\u00e1sicas en este documento se detallan \u00fanicamente para BIND9 y Microsoft DNS Server, ya que son los m\u00e1s utilizados. En caso de tener un servidor DNS diferente, deber\u00e1 consultar la documentaci\u00f3n de su vendedor para mayor informaci\u00f3n sobre las configuraciones.<\/p>\n
Debido al volumen de tr\u00e1fico masivo que puede ser producido por uno de estos ataques, a menudo es poco lo que la v\u00edctima puede hacer para detener un ataque de negaci\u00f3n de servicio distribuido basado en amplificaci\u00f3n DNS. Sin embargo, es posible reducir el n\u00famero de servidores que pueden utilizarse por los atacantes para generar el volumen de tr\u00e1fico, evitando que sus servidores sean intermediarios en este tipo de ataques.<\/p>\n
– Verificaci\u00f3n de IP de origen
\nDebido a la forma en que se ejecuta el ataque de amplificaci\u00f3n por DNS, el primer paso en reducir la efectividad de este ataque est\u00e1 en que los proveedores de servicio rechacen cualquier tr\u00e1fico DNS con direcciones falsas (IP Spoofing). El Network Working Group de la Internet Engineering Task Force lanz\u00f3 BCP38 (Best Current Practice \u2013 Mejores Pr\u00e1cticas Actuales) y BCP84, documentos que describen c\u00f3mo un proveedor de servicios de Internet puede filtrar el tr\u00e1fico en su red para rechazar los paquetes con direcciones de origen no accesibles a trav\u00e9s de la ruta del paquete actual. La implementaci\u00f3n de las recomendaciones de este documento har\u00eda que un dispositivo de enrutamiento eval\u00fae si es posible llegar a la direcci\u00f3n de origen del paquete mediante la interfaz que transmite el paquete. Si esto no es posible, se considera que el paquete tiene un a direcci\u00f3n de origen falsificada.<\/p>\n
– Deshabilitar la recursi\u00f3n en DNS autoritativos.
\nMuchos de los servidores DNS actualmente desplegados en Internet proporcionan exclusivamente la resoluci\u00f3n de nombres para un solo dominio. En estos sistemas, la resoluci\u00f3n DNS para sistemas clientes privados puede ser proporcionada por otro servidor separado y el servidor autoritativo act\u00faa \u00fanicamente como fuente de informaci\u00f3n de la zona DNS para clientes externos. Estos sistemas no necesitan apoyar una resoluci\u00f3n recursiva de otros dominios en nombre de un cliente, por lo cual la resoluci\u00f3n debe ser desactivada en la configuraci\u00f3n.<\/p>\n
Bind9<\/p>\n
En las opciones globles, a\u00f1adir lo siguiente:<\/p>\n
Options{
\nallow-query-cache { none; };
\nrecursion no;
\n};<\/p>\n
Microsoft DNS Server<\/p>\n
En la consola de Microsoft DNS Server
\nClick derecho en el servidor DNS e ir a Propiedades.
\nIr a la pesta\u00f1a de avanzado
\nEn opciones de servidor, seleccionar \u201cDesactivar recursi\u00f3n\u201d y aceptar.
\nLimitar la recursi\u00f3n a clientes autorizados.
\nPara servidores DNS implementados dentro de una organizaci\u00f3n o proveedor de servicios de Internet, el resolver debe configurarse dentro de una organizaci\u00f3n o proveedor de servicios de Internet, el resolver debe configurarse para permitir consultas recursivas solamente a clientes autorizados. Normalmente estas solicitudes s\u00f3lo deben provenir de los clientes dentro del intervalo de direcciones de red de la organizaci\u00f3n, recomendamos que los administradores de servidor restrinjan la recursividad s\u00f3lo a estos clientes
\nBind<\/p>\n
En las opciones globales, incluir lo siguiente (como ejemplo):<\/p>\n
acl redes_confiables {10.250.40.0\/24; 10.252.41.0.\/24; };
\noptions {
\nallow-query { any; };
\nallow-recursion { redes_confiables; };
\n};<\/p>\n
Microsoft DNS Server
\nActualmente no es posible restringir las consultas recursivas para un rango de direcciones particular en Microsoft DNS Server. Para aproximar la funcionalidad de las listas de control de acceso en el servidor DNS de Microsoft, debe configurarse internamente un servidor s\u00f3lo-cach\u00e9 diferente para proporcionar resoluci\u00f3n recursiva. Deben crearse reglas en el firewall para bloquear el acceso desde fuera de la red de la organizaci\u00f3n al servidor cach\u00e9. El servidor DNS autoritativo tendr\u00eda que estar alojado en un servidor independiente y con recursividad.
\nLimitar el n\u00famero m\u00e1ximo de respuestas. (Response Rate Limiting, RRL)
\nBIND9 permite a un administrador limitar el n\u00famero m\u00e1ximo de respuestas por segundo que son enviadas a un cliente desde el servidor DNS. Esta funcionalidad est\u00e1 dise\u00f1ada para ser utilizada en los servidores DNS autoritativos solamente, ya que afecta el desempe\u00f1o en resoluciones recursivas. Esta propiedad reduce la efectividad y el impacto de un ataque de amplificaci\u00f3n de DNS, ya que reduce la cantidad de tr\u00e1fico proveniente de otro servidor autoritativo, sin afectar el desempe\u00f1o de los resolver recursivos internos.<\/p>\n
BIND9
\nEsta caracter\u00edstica est\u00e1 disponible desde la versi\u00f3n 9.8. Se debe a\u00f1adir las siguientes l\u00edneas entre las opciones de las vistas autoritativas.<\/p>\n
rate-limit {
\nresponses-per-second 5;
\nwindow 5;
\n};<\/p>\n
Microsoft DNS Server
\nActualmente esta caracter\u00edstica no est\u00e1 disponible para Microsoft DNS Server.<\/p>\n
IV. Informaci\u00f3n adicional
\nhttp:\/\/www.team-cymru.org\/ReadingRoom\/Tips\/dns.html
\nhttp:\/\/www.ietf.org\/rfc\/rfc5358.txt
\nhttp:\/\/openresolverproject.org
\nhttp:\/\/tools.ietf.org\/html\/bcp38
\nhttp:\/\/cert.inteco.es\/extfrontinteco\/img\/File\/intecocert\/ManualesGuias\/guia_de_seguridad_en_servicios_dns.pdf<\/p>\n
V. Informaci\u00f3n de contacto
\nCSIRT PANAMA
\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental
\nE-Mail: info@cert.pa
\nWeb: https:\/\/www.cert.pa<\/p>\n
—–BEGIN PGP PUBLIC KEY BLOCK—–
\nVersion: GnuPG v2.0.17 (MingW32)<\/p>\n
mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn\/QIEG1+TLokEuOhw+
\nGq\/lK\/4NP9RzqpD57LcRUBiGgTmO\/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i
\npbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO\/TuD52DH
\nKRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh
\n4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w
\npqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo
\nQ1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL
\nCQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR\/YX2
\nH3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU\/uzi9LWnEcDscfFVKM\/K0Jt
\nbjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV\/LWag1yYTj5w
\nkkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b\/WkAJg5FIg
\nU0MpPqUGAF5\/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk
\n1XJIexpmkBYTxc+TOclhAp\/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn\/AB707JzN
\nQ80++q2kWQ==
\n=JUYg
\n—–END PGP PUBLIC KEY BLOCK—–<\/p>\n","protected":false},"excerpt":{"rendered":"
Fecha de publicaci\u00f3n: Julio 7, 2014 Fecha de modificaci\u00f3n: Julio 7, 2014 Gravedad: ALTA \u00daltima revisi\u00f3n: Revisi\u00f3n A. Fuente: CSIRT Panam\u00e1 I. Descripci\u00f3n Un ataque de amplificaci\u00f3n o reflexi\u00f3n de servidor de nombres de dominio…<\/p>\n","protected":false},"author":4,"featured_media":295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[8,26],"class_list":["post-107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos","tag-dns"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=107"}],"version-history":[{"count":5,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/107\/revisions"}],"predecessor-version":[{"id":169,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/107\/revisions\/169"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/295"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}