Alerta sobre ataque de DoS basado en DNS

Hugo Salgado H. hsalgado en nic.cl
Jue Abr 6 12:01:46 CLT 2006 

NIC Chile alerta sobre ataque de DoS basado en DNS
--------------------------------------------------

NIC  Chile  alerta  a  la comunidad sobre la existencia de un nuevo
tipo de ataques de DoS y sugiere medidas paliativas.

Durante  las  últimas semanas se ha comentado ampliamente en medios
de  prensa  internacionales  un  ataque  de  denegación de servicio
(Denial  of  Service, conocido como DoS) en Internet que se vale de
servidores  de  nombre (DNS) para conseguir una amplificación de su
poder.

Estos  ataques  se  aprovechan  de  los  servidores  de  nombre con
recursividad  abierta  (ORN, por sus siglas en inglés). Un servidor
de  nombres  recursivo  está "abierto" cuando contesta consultas no
sólo  de su red local (como debiera ser) sino aquellas provenientes
de   cualquier   origen.   Por   tanto,   pueden  ser  usados  como
intermediarios para un ataque de DoS. Debido a que una respuesta de
DNS  es  típicamente  más  grande  que  la  consulta,  el ataque es
amplificado  y  los  responsables  del ataque requieren menos de su
ancho de banda.

NIC  Chile  quiere alertar a todos los miembros de la comunidad que
los  ORN  son  un  peligro para toda Internet. NIC Chile recomienda
enfáticamente  cerrar  los ORN, siguiendo las técnicas descritas en
los documentos que se referencian. Por ejemplo, en el caso de BIND,
activando la opción "recursion no". Para los usuarios legítimos del
servicio  de recursión en su red local (o bien sus clientes en caso
de  ser  un  proveedor  de  acceso),  necesitará  usar  una segunda
máquina,  una segunda instancia de DNS asignada a una IP distinta o
incluso la característica de "vistas" en el caso de BIND 9.

Puede  consultar  por  orientación  a  NIC  Chile,  en la dirección
dnsadmin en nic.cl.  NIC  Chile  además ha creado una herramienta para
verificar la recursividad abierta de un servidor, disponible en:
    http://www.nic.cl/cgi-bin/test-orn.pl.

NIC  Chile,  en  cooperación  con  otros  registros de TLD's, busca
invitar  a  la  reflexión acerca de esta vulnerabilidad y encontrar
las  mejores maneras de contrarrestarla. En la actualidad, diversos
estudios  muestran  que  un  número importante de los servidores de
nombre  en  Internet son ORN, lo que debe llamar nuestra atención y
la de los administradores de sistemas.

Referencias:

* Reduciendo el acceso a la recursividad
  Documento preparado por NIC Chile, con instrucciones para bloquear
  la recursividad en BIND 9.
  http://www.nic.cl/dns/configuracion-recursividad.html

* Securing an Internet Name Server
  A very good practical synthesis for the system administrator.
  http://www.cert.org/archive/pdf/dns.pdf

* DNS Amplification attacks
  A good description of the current attacks.
  http://www.isotf.org/news/DNS-Amplification-Attacks.pdf

* The Continuing Denial of Service Threat Posed by DNS Recursion
  Official advice from the USA CERT.
  http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf

* Stop abusing my computer in DDOSes, thanks
  A description of the first known case, known as "x.p.ctrc.cc".
  http://weblog.barnet.com.au/edwin/cat_networking.html


NIC Chile
06 de abril de 2006

Más información sobre la lista de distribución Anuncios