Métodos de ataque a nombres de dominio
Un nuevo tipo de ataque distribuido de denegación de servicio (DDoS) dirigido a servidores de nombres de dominio, que puede denominarse ataque de "nombres sin sentido". Puede causar estragos en los servidores de nombres recursivos y en los servidores de nombres autorizados. Este ataque DDoS de "nombre de dominio sin sentido" generalmente se lleva a cabo de la siguiente manera:
1. El atacante selecciona un dominio como objetivo, como alguien.ejemplo.
2. En el dominio objetivo, el atacante manipula la botnet para generar una gran cantidad de nombres de dominio aleatorios. Los encabezados de estos nombres de dominio aleatorios son caracteres sin significado, como asdfghjk y zxcvbnm. Los nombres de dominio generados tienen el formato: asdfghjk.someone.example y zxcvbnm.someone.example.
3. Luego inicie una gran cantidad de solicitudes de consulta para estos nombres de dominio sin sentido al servidor de nombres de dominio recursivo.
4. El servidor de nombres de dominio recursivo a su vez envía solicitudes al servidor autorizado de alguien.ejemplo para consultar estos nombres de dominio.
5. El servidor de nombres de dominio autorizado devuelve una respuesta de "El nombre de dominio solicitado no existe" (NXDOMAIN).
6. El servidor recursivo transmite la respuesta al solicitante original y almacena en caché los registros de los nombres de dominio que no existen.
7. Solicitud, respuesta, caché, hazlo de nuevo. Una y otra vez sin cesar.
En la mayoría de los casos, la organización que opera el servidor de nombres autorizado (en este caso, el que proporciona resolución de nombres autorizados para alguien.ejemplo) parece ser el objetivo del atacante. Por ejemplo, algunos de los nombres de dominio atacados que observamos fueron utilizados por sitios web de juegos de azar nacionales (¿tal vez alguien estaba tomando represalias contra la casa de apuestas debido a grandes pérdidas?) En cualquier caso, el servidor recursivo fue inocentemente atacado y colapsó. ¿Son realmente el objetivo?
Por ejemplo, algunos de los dominios atacados por clientes de Infoblox desaparecieron misteriosamente durante uno o dos días después del ataque, lo que indica que estos dominios no fueron utilizados (de hecho, probablemente estaban "registrados provisionalmente"). ). Los atacantes pueden registrar deliberadamente estos dominios en un servidor de nombres de dominio que es lento o deja de responder, de modo que la resolución de nombres de dominio dentro del dominio será infinitamente larga, como nombres de dominio como com, top, cn, etc. Por supuesto, aparte de la cuestión del objetivo, el mecanismo detrás del ataque también es un misterio.