• Tweet

Cibercriminales están usando los servidores DNS para realizar ataques de negación de servicio distribuidos, todo ello para ampliar sus ataques y poder interrumpir negocios en línea.

A inicios de este año, la firma de VeriSing experimentó este tipo de ataques en sus sistemas, los cuales fueron los más largos que se hayan visto antes. La compañía situada en California, proveé sus servicios a empresas que realizan negocios en el web, descubrió que los ataques no fueron desde computadoras controladas ("bot computers"), como es común. En vez de esto, sus máquinas estuvieron bajo el ataque de servidores DNS.

"Los DNS son ahora la mejor manera de realizar un DDOS", menciona el investigador en seguridad Dan Kaminsky, refiriéndose a los ataques de negación de servicio distribuidos.

"La barrera ha sido pasada. La gente con muy pocos recursas puede ahora probar el potencial de estos ataques"

Solo es un ataque DDOS, hacia un sistema objetivo -- el cual podiera ser un servidor web, servidor de nombres o un servidor de correo -- el cual es inundado con una multitud de datos provenientes de múltiples sistemas de Internet. El objetivo es hacer que el blanco quede sin conexión o que se caiga si este intenta manejar datos entrantes.

Los ataques fueron una vez la herramienta utilizada por jóvenes aburridos. Pero ahora en estos días, este tipo de ataques son algunas veces utilizados por criminales buscándo obtener dinero de los negocios en línea, especialmente de aquellos en que su margen de ganancia es alto, como lo pudieran ser los sitios de juegos o los de la industria de entretenimiento para adultos.

Kaminsky menciona que "pasamos la era en donde los ataques de denegación de servicio simplemente pasaban por que los niños buscaron algo en que gastar su tiempo".

En vez de una PC controlada, un Servidor de Nombres de Dominio es un buen ciudadano dentro de la Internet. Estos sistemas juegan un papel crítico en las conexiones de los usuarios, mapeando los nombres de dominio basados en texto (Como pudiera ser www.cnet.com) a números de internet denominados comunmente IP Numbers o direcciones IP, que son utilizadas por las computadoras.

En este nuevo tipo de ataques, un atacante podría utilizar una botnet para enviar un largo número de peticiones para abrir los servidores DNS. Estas peticions serán falsas, estas vendrán de otro objetivo y el DNS las replicará a otras direcciones de red.

El utilizar los DNS para hacer su trabajo sucio ofrece beneficios a los atacantes. Estos esconden sus sistemas, haciéndo más complicado para las víctimas el encontrar la fuente original del ataque. Pero lo más importante, refleja un ataque a través de un DNS también que permite aplificar el tráfico deliveradamente hacia un objetivo.

El corazón de este problema es llamado "recursividad de servidor de nombres", lo cual son DNS's que permiten peticiones desde cualquier lugar de la red. Hay alrededor de 7.5 millones de DNS's, y se estima que muchos de ellos dejan abierto su rango de peticiones de 600,000 a 5.6 millones, de acuerdo con el reporte de Vaughn y Evron's.

Para proteger sus sistemas, las organizaciones con servidores de nombres los administradores pueden deshabilitar esta característica, que permite a cualquiera poder ver direcciones. Alternativamente a esto, también pueden administrar las características para que sólo este disponible para los usuarios internos. Los provedores de servicio de internet, asi como los negocios individuales, están entre los que usan DNS's.

Kaminsky agregó, "Si eres un administrador de DNS, no deberías proveer la recursividad de servicios para la Internet jamás"

Los expertos mencionan que cada vez más, los DNS's van a ser utilizados en ataques, y que muchos de sus administradores no estarán preparados por ser flojos.