BLOG

Crônicas das Nuvens, Parte 2: Prevenção e Defesa de Ataques DDoS DNS

Miniatura de Griff Shelley
Griff Shelley
Publicado em 26 de junho de 2024

A segurança pode não ser a primeira coisa que você pensa ao considerar como uma solução de DNS se encaixará no seu ambiente. Afinal, ela é frequentemente chamada de “a lista telefônica da internet” e com que frequência listas telefônicas e segurança são mencionadas na mesma frase? O DNS é um pouco modesto, mesmo sendo basicamente a espinha dorsal das interações diárias na internet. Talvez devido a essa onipresença, os serviços DNS também são frequentemente alvo de ataques de negação de serviço distribuído (DDoS) . E à medida que a complexidade e a frequência desses ataques aumentam, também aumentam as demandas que vêm com a defesa dessa pedra angular da infraestrutura da internet.

Ataques DNS DDoS: Uma rosa com qualquer outro nome ainda atrapalharia o trânsito

O que há a dizer sobre ataques DDoS de DNS que ainda não tenha sido dito? Eles vêm em vários sabores e variam em tamanho, desde “inconvenientes” até “ quebrar a internet, ou pelo menos um canto dela. “DDoS” é um termo abrangente que abrange uma infinidade de tipos de ataques de rede e aplicativos que negam serviços e que chegam ao tráfego de aplicativos legítimos . Aqui estão quatro dos ataques em larga escala mais comuns:

Ataques de amplificação e reflexão de DNS transformar o próprio DNS em uma arma, explorando a natureza aberta dos servidores DNS para amplificar o tráfego de ataque — como gritar em um cânion e usar o eco para amplificar o som.

Ataques NXDOMAIN inundam um servidor com solicitações de domínios inexistentes, criando uma cacofonia insidiosa de "números errados" que paralisam o serviço.

Ataques aleatórios de subdomínios causam problemas ao solicitar uma grande variedade de subdomínios inexistentes, confundindo os resolvedores de DNS.

Inundações de DNS inundam um ou mais servidores com tráfego aparentemente legítimo, tentando sobrecarregar um sistema por meio de grande volume.

Ataques de DNS Flood, Subdomain, NXDOMAIN e Amplification and Reflection: não importa como eles se manifestem, todos eles buscam usar tráfego excessivo ou irregular para interromper o acesso de usuários legítimos a aplicativos essenciais aos negócios. Eles também nem sempre são lançados isoladamente. De fato, ataques DDoS de DNS também podem servir como cortinas de fumaça para mascarar outras atividades maliciosas. Considerando a existência desses tipos de ataque no contexto da proliferação de transformações digitais, uma prevalência crescente de dispositivos IoT e a expansão do acesso à rede 5G, os criminosos agora podem aproveitar mais tecnologia e mais conexões de internet do que nunca para concretizar seus objetivos nefastos contra serviços DNS. O que fazer?

Ataques multivetoriais, segurança multivetorial

Posicionar o DNS como o ponto de partida para a entrega de aplicativos em um ambiente realmente exige que as equipes o considerem também como um ponto de partida para a segurança, mesmo que um serviço DNS não seja normalmente considerado uma solução de segurança no sentido tradicional.

Ajuda pensar em segurança no contexto de três funções relacionadas: escalabilidade, alta disponibilidade e gerenciamento de tráfego malicioso. Todas essas funções desempenham um papel prático na interação com o tráfego, garantindo que o tráfego certo chegue onde precisa, sem obstruções. 

Escalabilidade: Considere uma infraestrutura criada para ser dimensionada automaticamente em resposta ao aumento das demandas de tráfego, dando às equipes que mantêm o serviço uma vantagem na detecção de ataques DDoS. Ele pode garantir que, mesmo durante um ataque volumétrico, usuários legítimos ainda possam resolver suas consultas de DNS com interferência mínima, como ter uma ponte que pode adicionar faixas durante o trânsito da hora do rush para evitar congestionamentos. A capacidade de escalabilidade dos serviços de DNS também significa que uma onda repentina de tráfego — malicioso ou não — não sobrecarregará os recursos de backend a ponto de incapacitar.

Alta disponibilidade: Adicione outra dimensão à noção de escalabilidade, especialmente no contexto de segurança de DNS, e você perceberá a necessidade de um serviço de DNS que forneça resoluções ininterruptas durante um ataque que pode deixar um recurso offline. Se esse serviço se beneficiar de pontos de presença (PoPs) ao redor do mundo, essa rede de servidores pode fornecer gerenciamento de tráfego inteligente, fornecendo failovers contínuos para recursos designados, permitindo acesso para usuários e impedindo que invasores identifiquem e explorem um único ponto de falha. A outra opção dessa solução é emparelhar um serviço DNS baseado em nuvem com um serviço DNS local, implantando os dois como uma espécie de dupla dinâmica de combate a DDoS que pode dividir a carga entre eles ou posicionar um serviço DNS como backup do outro.

Gerenciamento de tráfego malicioso: Além da escalabilidade e alta disponibilidade, um serviço DNS também deve empregar recursos avançados de gerenciamento de tráfego malicioso. Ao aproveitar análises em tempo real e inteligência de ameaças, esse serviço pode ajudar os administradores a identificar e lidar com tráfego malicioso antes que ele possa causar danos. Imagine um filtro de água que consegue diferenciar entre um fluxo de água limpa e um que foi contaminado, permitindo a passagem apenas de água limpa. Permitir apenas tráfego “limpo” pela rede libera recursos ao detectar tráfego malicioso preventivamente e, em seguida, descartá-lo antes que ele chegue ao destino da vítima, evitando que esse destino tenha que lidar com pacotes inúteis e abrindo caminho para uma melhor disponibilidade do aplicativo.

Esses métodos de segurança triangulam o problema de mitigar tráfego ruim. Eles crescem, eles desviam, eles caem. Eles também fornecem cobertura um ao outro em áreas onde um método individual pode estar faltando. Alta disponibilidade , por exemplo, não significa necessariamente alta escalabilidade (e vice-versa). No entanto, implementar uma estratégia de entrega de aplicativos que combine todos os três pode fornecer rapidamente uma forte linha de defesa contra inundações de tráfego malicioso.

Na prática, alcançar uma entrega robusta de aplicativos diante de desafios como ataques DDoS geralmente envolve a combinação de estratégias e tecnologias, como gerenciamento inteligente de tráfego, arquiteturas distribuídas e mecanismos automatizados de failover. O F5 Distributed Cloud DNS pode ser o primeiro passo no desenvolvimento desse tipo de ambiente para seus aplicativos distribuídos.

Se você quiser saber mais sobre como, entre em contato conosco .