DNS: più sicurezza grazie ai cookie?

Il domain name system (DNS) potrebbe avvantaggiarsi dei cookie per contrastare gli attacchi DDoS. Ecco la proposta dell'IETF

DNS

Il domain name system è un pilastro fondamentale della Rete perchè consente di traslare gli IP numerici in più semplici e leggibili indirizzi (come hostingtalk.it). Una proposta avanzata a fine Maggio dall’Internet Engineering Task Force (IETF) ipotizza l’inserimento di cookie nel sistema DNS al fine di proteggerlo meglio dagli attacchi DDoS – i quali in passato lo hanno utilizzato più volte  per amplificare la propria portata.

I due principali promotori dell’idea, Mark Andrews e Donald Eastlake, definiscono i cookie DNS come un meccanismo (a lightweight DNS transaction security mechanism) per client e server di “protezione limitata” ma in grado di identificare la provenienza di varie tipologie di attacco (amplification etc.). I client cookie, come affermano i due realatori, saranno la risultante di una combinazione di tre elementi: l’indirizzo IP del client, l’indirizzo IP del server ed un “elemento segreto” noto solo al client; il server cookie sarà invece la combinazione dell’indirizzo IP del client, del client cookie ed un elemento noto solo al server.

Per quanto riguarda la privacy, assicurano i promotori, i cookie non saranno utilizzati in alcun modo per raccogliere informazioni (tracking) perchè ritorneranno all’IP di origine.

Cookie DNS, scenari di utilizzo

In chiusura una serie di casi individuati dai relatori in cui i cookie potrebbero rivelarsi utili a contrastare gli attacchi DDoS:

  • attacchi DDoS via indirizzo falsificato (forged). Con il termine “forging” si indica la pratica (nota anche come spoofing) di modificare l’header di ciascun pacchetto IP al fine di mascherare il proprio indirizzo (i pacchetti risulteranno inviati da un altro IP). I cookie non saranno in grado di fermare l’attacco ma l’hacker non potrà nascondere il suo vero IP come in passato.
  • Amplificazione DNS. I cookie ridurranno l’efficacia di eventuali attacchi perchè gli hacker potranno causare l’invio di un limitato numero di errori ad un indirizzo falsificato.
  • Attacchi ai server. Ciascuna richiesta DNS accettata dai server ha un costo in termini di risorse, ne consegue che l’invio massivo di richieste è uno dei metodi preferiti dagli hacker per mandare offline un server. I cookie saranno in grado di individuare e respingere le richieste falsificate.

L’implementazione dei cookie andrà a buon fine? Avremo modo di scoprirlo nei prossimi mesi.

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *