Mitigación de ataques via DNS usando Rate Limiting (RRL)

Carlos Martínez-Cagnazzo@carlosm3011

Agenda

• Seguridad en DNS / DNSSEC• Amenazas al DNS mas allá del DNSSEC• Ataques de amplificación• Rate limiting• Ejemplo

El sistema de nombres de dominio (DNS)

Raíz (.)

TLD

dom1.TLD

TLD TLD TLD

.com.TLD

dom1.com.TLD

dom2.com.TLD

.net.TLD

Estructura de un nombre de dominio

• Comentarios:– Los niveles del árbol reflejan las divisiones administrativas– El root del arbol esta siempre presente de forma ímplicita– Restricciones:

• 127 niveles, 63 caracteres por etiqueta– Los niveles superiores “delegan” hacia los inferiores

www.adinet.com.uy .4to nivel | 3er nivel | 2do nivel | 1er nivel | Raíz

Raíz del árbolDNSTLD2do

Hostname3er

Consultas DNS (recursión, caching)

“resolver” local(stub)

DNS recursivo local

Otros servidores

autoritativos

Seguridad: vectores de ataque en DNS

Seguridad en DNS: DNSSEC

• DNS Security Extensions (RFCs 4033, 4034, 4035)• DNSSEC nos protege de situaciones de corrupción y del spoofing

de datos***– Por ejemplo de ataques de tipo man-in-the-middle

• Proporciona un mecanismo para poder validar la autenticidad y la integridad de los datos contenidos en una respuesta DNS– Introduce firmas digitales en las respuestas

• Proporciona un mecanismo para publicar claves públicas en las mismas zonas DNS y para construir cadenas de confianza hacia un ancla de confianza– El ancla de confianza reside en la propia zona raíz

Ataques DoS via amplificación de DNS

• En un ataque de DoS la víctima recibe un flujo de tráfico muy grande, mayor de lo que sus recursos le permiten manejar– Flujos de tráfico ICMP o UDP

• Se conocen diferentes técnicas– Reflexión en el broadcast– Uso de botnets– Amplificación de DNS

• ¿Por qué?– Abundancia de open resolvers: abundancia de vectores – Tráfico UDP: spoofing sencillo– El protocolo en sí permite lograr amplificación del tráfico

Ataques DoS via amplificación de DNS (i)

Q1? (recursiva)

Q1? (auth)

R1? (auth)

Al final de esta fase, los recursivos abiertos tienen en su cache los RRs grandes

Amplificación de tráfico DNS

• Factor de amplificación:– 100 bytes de R frente a 20 bytes de P– Factor de amplifcación de 5

• Ejemplo 1:– dig @8.8.8.8 aaaa www.lacnic.net– Tamaño de la pregunta: xxx***– Tamaño de la respuesta: yyy***– Factor de amplificación: z***

• Ejemplo 2:– dig @8.8.8.8 txt dnsamp.labs.lacnic.net– Factor de amplifación: z***

Los open resolvers en los ataques de amplificación

• Un open resolver es un servidor DNS que responde preguntas a a cualquier servidor en internet, en particular consultas recursivas

• Consultas ANY– Devuelven cualquier tipo de registros para el nombre consultado

• Los open resolvers hacen muy sencillo el montar ataques de amplificación– Aunque también es posible lograr amplificación con servidores

autoritativos• De donde surgen los OR?

– Servidores DNS mal configurados– Routers hogareños que implementan DNS recursivo

Ejemplos de factores de amplificación

• dig A www.google.com, F=(112/32)=3.5• [medición usando tcpdump –i0 –s500 host <ip dns srv>]

Ejemplos de factores de amplificación

• dig txt dnsamp.lacnic19.lacnic.net , F=(1499/44)=34.06• [medición usando tcpdump –i0 –s1500 udp and host <ip dns

srv>]

Ejemplos recientes

• Ataque contra SpamHaus– X***

Demo de amplificación

• <<Demo>>

Estrategias de mitigación

• Preventivas– Los operadores de red deberían tratar de evitar la proliferación de

open resolvers• Configurando los CPEs apropiadamente• Educando a los usuarios que deciden correr su propio servidor de

nombres

• Reactivas– ¿Que medidas pueden implementarse en un servidor DNS de

producción?• Deshabilitar las consulas ANY• Forzar el uso de TCP para algunos clientes (evita el spoofing)• Implementar limitación de tráfico (Rate Limiting)

¡Muchas gracias por su atención!