Em 2008, o envenenamento do cache do servidor do Sistema de Nomes de Domínio (DNS) foi uma grande dor de cabeça. No entanto, os servidores DNS reforçaram sua segurança e os ataques desse tipo foram reduzidos a tal ponto que eram muito raros. No entanto, neste ano de 2020, eles tiveram uma recuperação muito importante, onde adquiriram uma relevância bastante significativa com o novo ataque SAD DNS. Você quer saber tudo sobre este novo ataque de envenenamento de cache DNS?
A investigação da UC Riverside
Pesquisadores da Universidade da Califórnia em Riverside descobriram uma nova maneira de atacar o DNS, esse novo ataque tem como foco o envenenamento do cache do servidor DNS (Sistema de Nomes de Domínio). Esse novo ataque ficou conhecido como SAD DNS e é um sério problema de segurança que os grandes provedores de DNS já estão começando a resolver. Em 2008, ataques desse tipo foram realizados usando endereços IP falsificados, ou seja, endereços IP falsos de origem, dessa forma os cibercriminosos poderiam redirecionar nosso navegador do site seguro que tínhamos escrito em nossa barra de endereços, para outro falso infectado com malware ou diretamente com phishing. Este problema foi corrigido em todos os softwares de servidor DNS,
A seguir, explicaremos resumidamente como funciona um DNS e, em seguida, continuaremos a discutir o SAD DNS, o novo ataque de envenenamento de DNS.
Como funciona um servidor DNS
DNS significa Domain Name System e vem da sigla em inglês Domain Name System. Os servidores DNS são responsáveis por traduzir o nome de domínio que introduzimos na barra de endereços do nosso navegador, no endereço IP correspondente para chegar ao servidor web que contém a referida página web que procuramos.
Esses sites que queremos acessar estão hospedados em servidores web com um IP público específico. Quando escrevemos o nome desse site, o servidor DNS se encarrega de nos oferecer esse IP de que precisamos. Por exemplo, se escrevermos em nosso navegador na barra de endereços 216.58.210.163, carregaremos o site do Google. Em resumo, esses servidores DNS são responsáveis por traduzir o que escrevemos em modo de texto para um endereço IP. Isso é feito desta forma, porque os nomes são mais fáceis de lembrar do que os números.
Ataques usando SAD DNS
Os pesquisadores descobriram um ataque de canal lateral que pode ser usado com sucesso contra o software DNS mais popular, este não é outro senão DNS SAD . Os softwares vulneráveis incluem BIND, Unbound e dnsmasq, que são amplamente usados em Linux e outros sistemas operacionais. Um fato importante é que a maior vulnerabilidade aparece quando o sistema operacional e a rede do servidor DNS são configurados para permitir mensagens de erro ICMP.
O ataque começa quando o cibercriminoso usa uma vulnerabilidade para falsificar endereços IP e um computador é capaz de acionar uma solicitação de encaminhador ou resolvedor de DNS. Os encaminhadores são aqueles que ajudam a descobrir para onde as solicitações de DNS são enviadas. Os pesquisadores então usaram um canal de rede de afiliados diferente dos principais usados nas solicitações de DNS. Eles então determinaram o número da porta de origem mantendo o canal aberto por tempo suficiente para executar 1000 tentativas por segundo até encontrarem o correto. Finalmente, com a porta de origem não aleatória, os pesquisadores inseriram um endereço IP malicioso e o ataque foi bem-sucedido.
No estudo, eles descobriram que mais de 34% dos servidores DNS atuais são vulneráveis a ataques. No entanto, um fato preocupante é que 85% dos serviços públicos gratuitos de DNS mais populares estão expostos a receber esses tipos de ataques. Se quisermos verificar se estamos expostos a um ataque desse tipo, podemos fazer isso acessando o Site de DNS triste e seguindo suas instruções.
Prevenção de Ataques SAD DNS
Medidas de defesa modernas como DANE e DNSSEC pararam em grande parte o envenenamento do cache DNS. No entanto, o problema é que esses métodos de segurança do DNS nunca foram implementados suficientemente, então esses tipos de ataques ainda estão sendo executados. Atualmente, já temos meios de impedir esses ataques, um deles seria com DNSSEC . No entanto, o problema é que ainda não está suficientemente implementado. Outro método que poderíamos usar e que também poderia ser útil seria usar o Cookie DNS RFC 7873 .
Por outro lado, a mitigação mais simples é não permitir respostas de saída ICMP inteiramente. No entanto, isso tem alguns prejuízos, pois perderíamos algumas funções de diagnóstico e solução de problemas de rede. Por fim, para evitar ataques com SAD DNS, o ideal seria que os servidores implementassem DNSSEC O mais breve possível . Também recomendamos que você vá diretamente para a explicação do SAD DNS da Cloudflare .
