De acuerdo

Conoce los mecanismos de ataque DNS Request Flood y cómo protegernos utilizando la solución Anti-DDoS 1800

125 0 0 0 0

El ataque de inundación de solicitud de DNS o DNS request flood attack se puede iniciar en servidores de caché de DNS o servidores autorizados de DNS.

 

Mecanismo de ataque

 

Ataques en servidores de caché

Un atacante envía solicitudes DNS masivas con nombres de dominio no válidos para sobrecargar el servidor de caché DNS. Como resultado, el servidor de caché DNS no puede responder a las solicitudes DNS de usuarios legítimos.

 

Ataques en servidores autorizados

Un atacante envía solicitudes DNS masivas con nombres de subdominios no válidos para sobrecargar el servidor autorizado DNS. Como resultado, el servidor autorizado de DNS no responde a las solicitudes de DNS de usuarios legítimos.

 

La dirección de origen de los ataques de inundación de solicitud de DNS puede ser real o falsificada. Los métodos de defensa se describen a continuación.


Mecanismo de defensa (contra ataques de servidor de caché desde direcciones de origen falsificadas)

La autenticación de origen puede defenderse eficazmente contra los ataques de inundación de solicitud de DNS utilizando direcciones de origen falsificadas. El dispositivo anti-DDoS recopila estadísticas sobre los paquetes de solicitud DNS destinados a un servidor DNS y permite la autenticación de origen cuando la tasa de solicitudes DNS alcanza un umbral. Para minimizar los falsos positivos y evitar el retraso en la respuesta del servicio, el dispositivo anti-DDoS implementa la autenticación de origen solo en las direcciones IP de origen que solicitan nombres de dominio específicos. Hay dos modos de autenticación de origen disponibles:

 

Modo básico: durante la autenticación de origen, el dispositivo anti-DDoS activa el cliente DNS para enviar paquetes de solicitud TCP DNS. Esto consume los recursos de conexión TCP del servidor de caché DNS. La Figura 1 muestra el procedimiento de autenticación de origen en modo básico.

 

Modo pasivo: en modo pasivo, el dispositivo anti-DDoS descarta las primeras solicitudes de cada dirección IP de origen para que el cliente deba enviar nuevamente la solicitud DNS. Luego, el dispositivo anti-DDoS compara los nombres de dominio solicitados en los primeros paquetes y los siguientes. Si son iguales, la dirección IP de origen se incluye en la lista blanca.


El modo pasivo se recomienda preferentemente para defenderse de los ataques al servidor de caché DNS que usan direcciones de origen falsificadas.

 

Figura 1 Autenticación de origen por el servidor de caché DNS


d1


Mecanismo de defensa (contra ataques autoritativos del servidor desde direcciones de origen falsificadas)

La autenticación de origen por parte del servidor autorizado, también llamado modo de redireccionamiento, se puede utilizar para defenderse contra ataques de inundación de solicitudes DNS que usan direcciones de origen falsificadas. Para minimizar los falsos positivos y evitar retrasos en la respuesta del servicio, el dispositivo anti-DDoS implementa la redirección solo en las direcciones IP de origen que solicitan nombres de dominio específicos.


Como se muestra en la Figura 2, el dispositivo anti-DDoS recopila estadísticas sobre las solicitudes DNS de un servidor DNS y permite la redirección cuando la tasa de solicitudes DNS supera un umbral.

 

1. El dispositivo anti-DDoS devuelve una dirección de alias a la dirección de origen. Si se falsifica la dirección de origen, no se responderá el paquete de redirección. Si es así, la dirección de origen no puede autenticarse y el paquete se descarta.

 

2. Si la dirección de origen es real, el cliente DNS enviará una solicitud de DNS para la dirección de alias. Si es así, la fuente se autentica y se incluye en la lista blanca.

 

3. El dispositivo anti-DDoS redirige la dirección correcta y, por lo tanto, la fuente debe enviar una solicitud para la dirección correcta. La solicitud coincide con la lista blanca y se reenvía al servidor autorizado.

 

Figura 2 Redirección por el servidor autorizado de DNS

d2


 

Mecanismo de defensa (contra ataques de direcciones de origen real)

Si se lanzan ataques de inundación de solicitud de DNS desde direcciones de origen reales y el número de solicitudes sigue siendo grande después de que el dispositivo anti-DDoS implemente las medidas de defensa anteriores, continúe utilizando las siguientes medidas de defensa.

 

Limitación de la tasa de solicitud de DNS. El dispositivo anti-DDoS admite la limitación de velocidad de solicitud por nombre de dominio solicitado o dirección IP de origen:

 

Limitación de la tasa de solicitud por nombre de dominio

Si el número de solicitudes DNS para un nombre de dominio alcanza el umbral, el dispositivo anti-DDoS descarta las solicitudes en exceso.

Los nombres de dominio más solicitados aparecerán en la Tendencia de solicitud N principal después de un ataque. Por lo tanto, se recomienda implementar una limitación de velocidad de solicitud de DNS en la dirección IP de origen que solicita los nombres de dominio N principales. Además, si se informa una anomalía durante la detección del nombre de dominio, puede configurar la captura de paquetes de anomalías para extraer el nombre de dominio.

 

Solicitar límite de velocidad de paquetes por dirección IP de origen

Si el número de solicitudes DNS de una dirección IP de origen alcanza el umbral, el dispositivo anti-DDoS descarta el exceso de paquetes.

El dispositivo anti-DDoS puede implementar un límite de velocidad de solicitud para la dirección IP de origen especificada. Se recomienda implementar la limitación de la tasa de solicitud de DNS por la dirección IP de origen especificada en los nombres de dominio en la Tendencia de solicitud N principal porque los nombres de dominio de destino más solicitados aparecerán en la Tendencia de solicitud N principal cuando ocurra el ataque.

 

Anomalía de detección de paquetes DNS. El dispositivo anti-DDoS verifica los paquetes DNS en los siguientes aspectos:

 

Formato: el dispositivo anti-DDoS verifica los formatos de paquetes DNS y descarta los paquetes no estándar.

 

Longitud: el dispositivo anti-DDoS descarta los paquetes que son más grandes que la longitud máxima especificada. En general, los paquetes DNS de menos de 512 bytes se transmiten a través de UDP, y los de más de 512 bytes se transmiten a través de TCP. Los paquetes DNS gigantes a menudo se usan en ataques de inundación de DNS, como los ataques de reflexión de DNS, para congestionar redes en vivo. Por lo tanto, la limitación de la longitud del paquete es efectiva para defenderse de los ataques de inundación de DNS.


TTL: el dispositivo anti-DDoS descarta los paquetes DNS cuyos TTL son más grandes que los saltos permitidos o más allá del rango de salto permitido. La defensa del servidor de caché DNS utiliza el principio de proximidad. Por ejemplo, los servidores de caché DNS de Telecom local solo sirven a usuarios locales. Por lo tanto, los TTL de los paquetes DNS deben estar dentro de un rango pequeño.

 

Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.