Ataque DNS

Um ataque DNS é um exploit no qual um atacante tira vantagem das vulnerabilidades do sistema de nomes de domínio (DNS).

Para entender como funcionam os ataques DNS, é importante primeiro entender como funciona o sistema de nomes de domínio. DNS é um protocolo que traduz um nome de domínio de fácil utilização, como o WhatIs.com, para o endereço IP de fácil utilização do computador 206.19.49.154.154.

Quando um utilizador final digita o nome de domínio de fácil utilização do WhatIs.com no browser de um cliente, um programa no sistema operativo do cliente chamado resolvedor DNS procura o endereço IP numérico do WhatIs.com. Primeiro, o resolvedor DNS verifica o seu próprio cache local para ver se já tem o endereço IP do WhatIs.com. Se não tiver o endereço, o resolvedor então consulta um servidor DNS para ver se ele sabe o endereço IP correto para o WhatIs.com. Os servidores DNS são recursivos, o que significa simplesmente que podem consultar uns aos outros para encontrar outro servidor DNS que saiba o endereço IP correcto ou encontrar o servidor DNS autorizado que armazena o mapeamento canónico do nome de domínio WhatIs.com para o seu endereço IP. Assim que o resolvedor localiza o endereço IP, devolve o endereço IP ao programa solicitante e armazena o endereço para uso futuro.

Embora o DNS seja bastante robusto, foi projetado para usabilidade, não para segurança, e os tipos de ataques DNS em uso hoje são numerosos e bastante complexos, aproveitando a comunicação entre clientes e servidores. Normalmente, os atacantes aproveitam a comunicação em texto simples entre os clientes e os três tipos de servidores DNS. Outra estratégia de ataque popular é entrar no site de um provedor DNS com credenciais roubadas e redirecionar os registros DNS.

Para diminuir as chances de um ataque DNS, os administradores de servidores devem usar a versão mais recente do software DNS, monitorar consistentemente o tráfego e configurar servidores para duplicar, separar e isolar as várias funções do DNS. Para se defenderem contra ataques DNS, os especialistas recomendam a implementação de autenticação multifactor ao fazer alterações na infra-estrutura DNS da organização. O pessoal de operações também deve monitorar quaisquer alterações publicamente associadas aos seus registros DNS ou a quaisquer certificados digitais associados à sua organização. Outra estratégia é implementar Domain Name System Security Extensions (DNSSEC), que fortalece a autenticação no DNS usando assinaturas digitais baseadas em criptografia de chave pública.

Vetores de ataque DNS

Tipos de ataques DNS incluem:

Ataque de dia zero – o atacante explora uma vulnerabilidade previamente desconhecida na pilha de protocolos DNS ou no software do servidor DNS.

Envenenamento de cache – o atacante corrompe um servidor DSN ao substituir um endereço IP legítimo no cache do servidor pelo de outro endereço desonesto, a fim de redirecionar o tráfego para um site malicioso, coletar informações ou iniciar outro ataque. Envenenamento do cache também pode ser referido como envenenamento DNS.

Negação de Serviço – um ataque em que um bot malicioso envia mais tráfego para um endereço IP alvo do que os programadores que planejaram seus buffers de dados previram que alguém poderia enviar. O alvo torna-se incapaz de resolver solicitações legítimas.

Distributed Denial of Service – o atacante usa uma rede de bots para gerar grandes quantidades de solicitações de resolução para um endereço IP alvo.

Aplicação do DNS – o atacante aproveita um servidor DNS que permite pesquisas recursivas e usa a recorrência para espalhar seu ataque para outros servidores DNS.

DNS de fluxo rápido – o atacante troca os registros DNS de entrada e saída com extrema frequência para redirecionar as solicitações DNS e evitar a detecção.