Un grupo de científicos de la Universidad de Tsinghua (China) habló sobre un nuevo método de ataques DDoS, llamado bomba DNS. En este caso, el tráfico DNS se utiliza para organizar potentes ataques DDoS.
De hecho, DNSBomb es una nueva variación de un ataque que ya tenía veinte años. Así, en 2003 se publicó estudiar, que describía un ataque DDoS utilizando pulsos TCP. Estos ataques utilizan ráfagas cortas y repetidas de grandes volúmenes de tráfico para impactar el sistema o servicio objetivo. Estos pulsos pueden durar hasta varios cientos de milisegundos, ocurriendo cada pocos segundos, y el ataque completo puede durar varias horas o días. Normalmente, los ataques DDoS pulsados son más difíciles de detectar.
DNSBomb adopta el mismo enfoque, pero en una implementación diferente: explota el software DNS y una infraestructura de servidor DNS moderna, que incluye solucionadores recursivos y servidores de nombres autorizados.
Esencialmente, DNSBomb funciona enviando un flujo lento de consultas DNS especialmente diseñadas a servidores DNS, que reenvían los datos, aumentan el tamaño de los paquetes y los acumulan, luego los liberan todos a la vez como una poderosa ráfaga de tráfico DNS dirigido directamente al objetivo.
Los investigadores escriben que en las pruebas utilizaron DNSBomb contra 10 programas DNS comunes y 46 servicios DNS públicos, y lograron un ataque con una capacidad de hasta 8,7 Gbps. En este caso, el tráfico DNS original se amplificó hasta 20.000 veces su tamaño original.
En última instancia, el ataque provoca una pérdida total de paquetes o una calidad de servicio degradada en conexiones con y sin estado (TCP, UDP y QUIC).
“Concluimos que cualquier sistema o mecanismo que pueda combinar algo (como DNS y CDN) puede usarse para crear tráfico DoS en ráfagas”, escriben los autores del estudio.
Los científicos dicen que han notificado a todas las partes afectadas sobre el problema y 24 organizaciones ya están trabajando en soluciones o han lanzado parches. Al mismo tiempo, entre las organizaciones afectadas se encuentran los proveedores de DNS más famosos del mundo.
Al problema de DNSBomb se le ha asignado un identificador CVE importante CVE-2024-33655así como una serie de otros identificadores asociados con soluciones DNS específicas:
Los expertos planean revelar información más detallada sobre el problema en el Simposio IEEE sobre Seguridad y Privacidad, que se llevará a cabo en San Francisco esta semana.
2024-05-23 20:05:29
#ataque #DNSBomb #permite #aumentar #los #DDoS #veces #Hacker,