O que é DNS Recursivo

O Sistema de Nomes de Domínio (Domain Name System, DNS) é o componente do protocolo padrão da internet responsável por converter nomes de domínio que podem ser entendidos pelas pessoas nos endereços de protocolo de internet (IP) que os computadores utilizam para identificar uns aos outros na rede.

Muitas vezes chamada de "lista telefônica da internet", uma analogia mais moderna é que o DNS gerencia nomes de domínio da mesma forma que os smartphones gerenciam contatos. Os smartphones eliminam a necessidade de os usuários memorizarem números de telefone individuais, armazenando-os em listas de contatos pesquisáveis com facilidade.

Da mesma forma, o DNS possibilita que os usuários se conectem a sites com nomes de domínio da internet em vez de endereços IP. Em vez de ter que memorizar que o servidor da web está em "93.184.216.34", por exemplo, os usuários podem simplesmente acessar a página "http://www.exemplo.com" para receber os resultados desejados.

Tipos de servidores DNS

Desde o início, os desenvolvedores projetaram o DNS com uma estrutura de banco de dados hierárquica e distribuída para facilitar uma abordagem mais dinâmica para a resolução de nomes de domínio, capaz de acompanhar o ritmo de uma rede de computadores em rápida expansão. A hierarquia começa com o nível raiz, indicado por um ponto (.) e se ramifica em domínios de nível superior (TLDs) como ".com", ".org", ".net" ou TLDs com código de país (ccTLDs) como ".uk" e ".jp" e domínios de segundo nível.

A arquitetura do DNS consiste em dois tipos de servidores de DNS, servidores recursivos e servidores autoritativos. Os servidores DNS recursivos são os que fazem a "solicitação", procurando as informações que conectam um usuário a um site.

Nesse Artigo Iremos Falar sobre Servidores de DNS Recursivo

Os servidores recursivos, também conhecidos como resolvedores recursivos ou resolvedores de DNS, normalmente são gerenciados por provedores de serviços de internet (ISPs), grandes empresas ou outros provedores de serviços de DNS de terceiros. Atuam em nome do usuário final para resolver o nome de domínio de um endereço IP. Os resolvedores recursivos também armazenam em cache as respostas a uma solicitação por um determinado período (definido pelo valor de tempo de vida, ou TTL) para melhorar a eficiência do sistema nas consultas futuras no mesmo domínio.

Quando um usuário digita um endereço da web em um navegador de pesquisa, o navegador conecta um servidor DNS recursivo para resolver a solicitação. Se o servidor recursivo tiver a resposta armazenada em cache, poderá conectar o usuário e concluir a solicitação. Caso contrário, o resolvedor recursivo consultará uma série de servidores DNS autoritativos para encontrar o endereço IP e conectar o usuário ao site desejado.

Quais são as vantagens do DNS recursivo?

As consultas de DNS recursivo geralmente tendem a ser resolvidas mais rapidamente do que as consultas iterativas. Isto é devido ao armazenamento em cache. Um servidor de DNS recursivo armazena em cache a resposta final para cada consulta que realiza e salva essa resposta final por um determinado período de tempo (conhecido como tempo de vida).

Quando um resolvedor recursivo recebe uma consulta de um endereço de IP que já possui em seu cache, ele pode fornecer rapidamente a resposta armazenada em cache ao cliente sem se comunicar com nenhum outro servidor de DNS. A entrega rápida de respostas a partir do cache é muito provável, se a) o servidor DNS atender a muitos clientes e/ou b) o site solicitado for muito popular.

Quais são as desvantagens do DNS recursivo?

Infelizmente, permitir consultas DNS recursivas em servidores de DNS abertos cria uma vulnerabilidade de segurança, pois essa configuração pode permitir que invasores realizem ataques de amplificação de DNS e envenenamento de cache de DNS.

O que é um ataque de amplificação de DNS?

Esse ataque de DDoS é um ataque volumétrico de negação de serviço distribuída (DDoS) baseado em reflexão, no qual um invasor explora uma funcionalidade dos resolvedores de DNS abertos de modo a sobrecarregar uma rede ou servidor visados com uma quantidade amplificada de tráfego, tornando o alvo e a infraestrutura que o circunda inacessíveis.

Como funciona um ataque de amplificação de DNS?

Todos os ataques de amplificação exploram uma disparidade no consumo de largura de banda entre um invasor e o recurso web visado. Quando a disparidade de custo é ampliada para muitas solicitações, o volume de tráfego resultante pode desestabilizar a infraestrutura de Rede. Ao enviar consultas breves que resultam em longas respostas, o usuário malicioso consegue obter mais com menos. Ao multiplicar essa ampliação fazendo com que cada bot de uma botnet faça solicitações semelhantes, o invasor tanto se mantém encoberto e imune à detecção quanto colhe os benefícios de um tráfego de ataque intensamente aumentado.

Um único bot em um ataque de amplificação de DNS pode ser comparado a um adolescente malicioso que liga para um restaurante e diz, "Quero todos os itens do seu cardápio, um de cada. Agora me ligue de volta e repita todo o meu pedido". Quando o restaurante pergunta para qual telefone deve retornar, o número fornecido é o da vítima visada. Em seguida, a vítima recebe uma ligação do restaurante com um monte de informações que não solicitou.

Como resultado da solicitação enviada por cada bot para os resolvedores de DNS abertos com um endereço de IP falsificado, que foi alterado para o endereço de IP de origem real da vítima visada, o alvo do ataque, então, recebe uma resposta dos resolvedores de DNS. Para criar uma grande quantidade de tráfego, o invasor estrutura a solicitação de maneira a gerar a maior resposta possível dos resolvedores de DNS. Como resultado, o alvo do ataque recebe uma amplificação do tráfego inicial do invasor e sua Rede fica obstruída pelo tráfego espúrio, causando uma negação de serviço.

Uma amplificação de DNS pode ser dividida em quatro etapas:

1. O invasor usa um ponto de terminação comprometido para enviar pacotes UDP com endereços de IP falsificados para um recursor de DNS. O endereço falsificado dos pacotes aponta para o endereço de IP real da vítima.

2. Cada pacote UDP faz uma solicitação para o resolvedor de DNS, geralmente transmitindo um argumento como "ANY" (qualquer um) para receber a maior resposta possível.

3. Após receber as solicitações, o resolvedor de DNS — que, ao responder, está tentando ser útil — envia uma longa resposta ao endereço de IP falsificado.

4. O endereço IP do alvo de ataque recebe a resposta e a infraestrutura de rede circundante fica sobrecarregada com a avalanche de tráfego, resultando em uma negação de serviço.

Embora algumas poucas solicitações não sejam suficientes para derrubar a infraestrutura de rede, quando essa sequência é multiplicada por várias solicitações e resolvedores de DNS, a amplificação de dados que o alvo do ataque recebe pode ser substancial. Confira outros detalhes técnicos dos ataques de reflexão.

Como um ataque de amplificação de DNS é mitigado?

Para um indivíduo ou empresa acessando um site ou um serviço, as opções de mitigação são limitadas. Isso decorre do fato de que, embora possa ser o alvo, não é o servidor do indivíduo que sofre os efeitos principais de um ataque volumétrico. Devido à alta quantidade de tráfego gerada, a infraestrutura que rodeia o servidor sente o impacto. O Provedor de Internet (ISP) ou outros provedores de infraestrutura upstream podem não ser capazes de lidar com o tráfego de entrada sem ficarem sobrecarregados. Como resultado, o provedor poderá encaminhar o tráfego para o endereço de IP da vítima visada como em uma filtragem blackhole, derrubando o site da vítima e se protegendo enquanto isso. Além dos serviços de proteção externos como a proteção contra DDoS da Cloudflare, as estratégias de mitigação consistem, principalmente, em soluções preventivas de infraestrutura de internet.

Reduza o número total de resolvedores de DNS abertos

Um componente essencial dos ataques de amplificação de DNS é o acesso a resolvedores de DNS abertos. A existência de resolvedores de DNS mal configurados expostos à internet significa que tudo o que um invasor precisa fazer para utilizar um resolvedor de DNS é descobri-lo. O ideal é que os resolvedores de DNS forneçam seus serviços apenas para dispositivos originários de um domínio confiável. No caso de ataques baseados em reflexão, os resolvedores de DNS abertos irão responder a consultas provenientes de qualquer lugar da internet, permitindo a possibilidade de exploração. Restringir um resolvedor de DNS de forma a fazer com que ele responda apenas a consultas de fontes confiáveis tornará o servidor um veículo insatisfatório para qualquer tipo de ataque de amplificação.

Verificação do IP de origem: evite a saída de pacotes falsificados da rede

Como as solicitações UDP enviadas pela botnet do invasor precisam ter um endereço de IP de origem falsificado para o endereço de IP da vítima, um componente crucial para reduzir a eficácia dos ataques de amplificação baseados em UDP é que os provedores de internet (ISPs) rejeitem qualquer tráfego interno com endereços de IP falsificados. Se um pacote for enviado de dentro da Rede com um endereço de origem que o faça parecer como originado fora da Rede, trata-se provavelmente de um pacote falsificado que pode ser abandonado. A Cloudflare considera altamente recomendável que todos os provedores implementem a filtragem do tráfego de entrada e periodicamente poderá entrar em contato com os provedores que, sem saber, participam de ataques de DDoS, ajudando-os a perceber sua vulnerabilidade.

Fontes: https://www.ibm.com/br-pt/topics/dns

https://www.cloudflare.com/pt-br/learning/dns/what-is-recursive-dns/

https://www.cloudflare.com/pt-br/learning/ddos/dns-amplification-ddos-attack/

https://www.ibm.com/docs/en/ns1-connect?topic=answers-guide-dns-record-types

https://openresolver.com/