DNSSEC può amplificare gli attacchi DDoS

Secondo un recente studio DNSSEC può rivelarsi un "utile" strumento per gli hacker che intendono amplificare attacchi DDoS

DNSSEC procedura di convalida - fonte Microsoft

DNSSEC procedura di convalida – fonte Microsoft

Il Domain Name System Security Extensions (DNSSEC) è una variante del classico DNS nata per rispondere a rinnovate esigenze di sicurezza della rete. Le debolezze del protocollo DNS furono evidenziate già 8 anni fa quando il ricercatore Dan Kaminsky scoprì, insieme ad altri colleghi, un grave bug grazie al quale era possibile imitare qualsiasi email e server Web – sostituendosi agli originali.

Attualmente il protocollo non è stato applicato all’intero Web ed è anzi al centro di un acceso dibattito: i sostenitori affermano che si tratta sempre di un passo avanti rispetto a DNS e che in questo modo gli hacker avranno maggiori difficoltà ad operare in Rete; gli oppositori definiscono DNSSEC una soluzione incompleta, debole e dagli elevati costi di implementazione (sia tecnici che economici). A sostegno dei “detrattori” giunge un report realizzato da Neustar e segnalato dal portale CircleID dal titolo: “DNSSEC: How Savvy DDoS Attackers Are Using Our Defenses Against Us”. 

DNSSEC ed attacchi DDoS

“DNSSEC si è presentato come un strumento per combattere fenomeni come l’hijacking DNS ma sfortunatamente gli hacker hanno compreso che la complessità delle firme [elettroniche] lo rende ideale per soverchiare i network con un attacco DDoS” ha affermato Joe Loveless (Director Product Marketing, Security Services presso Neustar).

Lo studio constata che il DNSSEC, ideato per garantire integrità ed autenticità al DNS, si affida a procedure complesse che prevedono firme digitali e scambio di chiavi. Come risultato, prosegue, quando un record DNS è trasferito a DNSSEC viene generata una quantità considerevole di informazioni aggiuntive; il comando DNS “ANY” è inoltre in grado di generare con DNNSEC una risposta amplificata più grande rispetto ad una normale risposta DNS.

Neustar osserva che in media il fattore di amplificazione ottenibile con DNSSEC è pari a 30 (una query di circa 80 byte può trasformarsi quindi in una risposta da 2300 byte), un valore che può rivelarsi “molto utile” per lanciare un attacco DDoS ad ampio raggio. Di seguito alcune delle raccomandazioni e conclusioni estratte dal report:

  • le vulnerabilità DNSSEC sono “produttive”. Dopo aver analizzato 1349 domini di un determinato settore industriale ha appreso che circa l’80% (1084 domini) possono essere utilizzati per amplificare eventuali attacchi DDoS;
  • il fattore di amplificazione medio è 28.9. Si è già detto della della query da 80 byte e della risposta da oltre 2000 byte. Il più alto valore di moltiplicazione ottenuto dai ricercatori è stato invece di 217 (da 80 byte a 17377 byte);
  • Consigli per mitigare il problema. Tutte le organizzazioni che si affidano al protocollo dovrebbero assicurarsi che il proprio provider DNS non risponda alle query “ANY” o abbia degli strumenti in grado di limitarne l’abuso.

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *