theNet by CLOUDFLARE

O cenário de ameaças de DNS em evolução

O DNS não foi projetado para segurança

O Domain Name System (DNS) foi projetado na década de 1980, quando o acesso à internet era restrito a agências governamentais, cientistas e militares. Os primeiros arquitetos do sistema estavam preocupados com confiabilidade e funcionalidade, não com segurança. Como resultado, os servidores de DNS sempre foram vulneráveis a um amplo espectro de ataques, incluindo falsificação, amplificação e negação de serviço.

E esses ataques estão se tornando mais comuns. De acordo com o 2021 Global DNS Threat Report do IDC, 87% das organizações sofreram um ataque de DNS no ano passado, um aumento de oito pontos percentuais em relação ao ano anterior. Muitos desses ataques tiveram consequências graves. 76% dos ataques de DNS causaram tempo de inatividade do aplicativo, segundo o relatório, e o ataque médio levou mais de cinco horas e meia para ser mitigado.

Vários fatores explicam esse aumento de ataques e as organizações precisam de um plano para lidar com todos eles.

Os últimos anos causaram duas mudanças no cenário de DNS existente: vulnerabilidades de DNS recém-descobertas e mudanças nos hábitos de navegação na internet decorrentes da pandemia de Covid-19. Para responder a essas novas ameaças, e se defender contra as existentes, as organizações precisam dar maior prioridade à segurança do DNS em geral e implementar uma abordagem multicamada que se estenda além do DNSSEC.


Novas ameaças cibernéticas exploram e abusam do DNS

Em 2021, 44% das organizações identificaram ataques baseados em DNS como um de seus principais desafios de segurança. Uma rápida olhada no ano passado torna as razões claras.

Para começar, várias novas vulnerabilidades relacionadas ao DNS foram descobertas recentemente, incluindo:

  • Ataques de envenenamento de cache “Esqueceu a senha”. Os links "esqueceu a senha" são comuns em aplicativos web, mas uma vulnerabilidade descoberta em julho de 2021 os tornou vulneráveis a ataques de envenenamento de cache de DNS.Pesquisadores de segurança descobriram que, ao realizar um ataque de envenenamento de cache em 146 aplicativos web vulneráveis, eles poderiam redirecionar e-mails de redefinição de senha para servidores controlados pelo invasor.Isso permitiu que eles clicassem no link e redefinissem a senha, fornecendo acesso legítimo à conta do usuário.

  • Exposição de dados no DNS gerenciado. A pesquisa apresentada na Black Hat USA 2021 demonstrou que bugs em certos serviços de DNS gerenciados podem expor o tráfego de DNS corporativo contendo informações confidenciais.Ao registrar um domínio no serviço Route53 DNS da Amazon ou no Google Cloud DNS com o mesmo nome do servidor de DNS, o invasor forçou todo o tráfego de DNS a ser enviado ao servidor.Isso expôs informações confidenciais e permitiu ataques de falsificação de DNS.

  • Ataques DDoS tsuNAME contra servidores DNS. tsuNAME é uma falha no software resolvedor de DNS que permite ataques DDoS contra servidores de DNS. Podem existir domínios com “dependências cíclicas”, onde o domínio A delega ao domínio B e vice-versa. Os resolvedores de DNS vulneráveis iniciam um loop quando são apresentados a domínios que causam dependências cíclicas. Em um caso, apenas dois domínios mal configurados criaram um aumento de tráfego de 50% para os servidores DNS autorizados de .nz em 2020.

Além disso, o aumento do trabalho remoto inspirou novos ataques DNS. Desde o início da pandemia de Covid-19, diversas variedades de ataques têm como alvo roteadores domésticos com sequestro de DNS. No sequestro de DNS, o invasor faz com que o registro de DNS de um domínio legítimo aponte para um site sob seu controle. Nesses ataques recentes, o site comprometido alegava oferecer informações sobre a Covid-19, mas na verdade instalou um malware no dispositivo do usuário.

Com muitos funcionários trabalhando em período integral ou parcial em casa, um dispositivo comprometido representa um risco significativo à segurança da rede. No geral, um relatório da Global Cyber Alliance descobriu que cerca de um terço das violações de dados em todo o mundo decorrem de falhas de segurança do DNS.


As ameaças de DNS existentes também persistem

Esses novos vetores de ataque DNS juntam-se a uma longa lista de ameaças estabelecidas. Alguns dos ataques mais comuns envolvendo infraestrutura de DNS incluem:

  • Ataques de negação de serviçode DNS: que derrubam os serviços de DNS, tornando os sites que eles atendem inacessíveis.Esses ataques podem desperdiçar recursos do servidor solicitando domínios inexistentes (NXDOMAINs) ou subdomínios aleatórios ou podem executar um ataque de negação de serviço distribuída (DDoS) contra um servidor DNS.

  • Falsificação de DNS: semelhante ao sequestro de DNS, mas direcionado a resolvedores de DNS, que armazenam em cache registros de DNS solicitados com frequência ou recentemente.Um ataque de falsificação de DNS ou envenenamento de cache introduz registros de DNS falsos no cache de um resolvedor, fazendo com que as solicitações desses domínios sejam roteadas para um site controlado pelo invasor.

  • Ampliação de DNS por DDoS: que aproveita os serviços que se comunicam por UDP e têm respostas muito maiores que a solicitação correspondente.Esses fatores permitem que um invasor envie solicitações ao serviço e tenha suas respostas muito maiores enviadas ao alvo.Um ataque de amplificação de DNS inunda o alvo com respostas de DNS, consumindo largura de banda e sobrecarregando os servidores visados.

  • Tunelamento de DNS: explora as permissões do tráfego DNS para passar por firewalls corporativos.Esses ataques usam o tráfego de DNS para transportar dados entre o malware e o servidor de dados controlado pelo invasor.


O impacto dos ataques de DNS

A diversidade significativa dentro do cenário de ataques DNS significa que as consequências do ataque também variam. Independentemente da circunstância, essas consequências costumam ser graves.

Ataques DDoS de DNS, como aqueles que exploram a falha tsuNAME mencionada acima, podem resultar em baixo desempenho ou tempo de inatividade total para aplicativos web inteiros. O DNS é um primeiro passo essencial na capacidade de carregamento rápido de um site, e esses ataques usam recursos do servidor que poderiam ser usados para lidar com solicitações legítimas. Em 2020, 42% das organizações que sofreram um ataque de DNS relataram que seu site foi comprometido de alguma forma.

Mesmo ataques não projetados para derrubar serviços de DNS, como ampliação de DNS por DDoS ou tunelamento de DNS, podem criar grandes volumes de tráfego para servidores de DNS. Esse desempenho ruim tem várias consequências secundárias, incluindo taxas de conversão mais baixas, classificações de pesquisa orgânica mais baixas e muito mais.

Ataques de falsificação, sequestro e envenenamento de cache também podem prejudicar as conversões do site, direcionando clientes em potencial para longe do site legítimo. Além disso, ter o site visto como mal protegido pode prejudicar a reputação da marca de uma organização no longo prazo.

Os ataques de DNS também podem ter consequências graves para a segurança da rede de uma organização. As vulnerabilidades mencionadas em certos provedores de DNS gerenciados resultaram na exposição do tráfego privado a invasores, um problema crítico de segurança de dados. E os ataques de tunelamento de DNS que instalam e controlam malware em uma rede podem ter inúmeras consequências, incluindo perda de dados e exigências de resgate.

De forma geral, o custo médio por ataque de DNS em 2020 foi superior a US$ 900 mil.


Mitigar a ameaça de ataques de DNS

Várias etapas podem ajudar as organizações a mitigar ataques de DNS. No topo da lista: implementar algum tipo de solução de segurança de DNS. O relatório do IDC constatou que 42% das organizações não implantaram soluções de segurança de DNS dedicadas.

A proteção contra esses ataques requer soluções de segurança de DNS. No entanto, essas soluções devem ser cuidadosamente projetadas e implementadas para garantir que não afetem negativamente o desempenho de solicitações de DNS legítimas.

Algumas opções de mitigação de ataque de DNS incluem:

  • DNSSEC: o DNSSEC é um protocolo de segurança que assina respostas de servidores de DNS.Isso ajuda a proteger contra sequestro e falsificação de DNS ao autenticar os dados retornados ao cliente.

  • infraestrutura redundante: os ataques DoS contra a infraestrutura de DNS geralmente funcionam enviando ao servidor de DNS de destino mais tráfego do que ele pode suportar.Ao provisionar os servidores com folga e usar o roteamento anycast, pode ser feito o balanceamento de carga do tráfego entre vários servidores.Isso garante a disponibilidade se um servidor estiver sobrecarregado ou cair.

  • Firewall de DNS: um firewall de DNS fica entre o nameserver autoritativo de um domínio e os resolvedores recursivos dos usuários.O firewall pode limitar a taxa de solicitações para proteger contra ataques DDoS ou filtrar o tráfego para bloquear solicitações maliciosas ou suspeitas.

  • DNS criptografado: por padrão, o DNS é um protocolo não criptografado e não autenticado.O DNS sobre HTTPS (DoH) e o DNS sobre TLS (DoT) fornecem criptografia e autenticação.


Segurança de DNS com a Cloudflare

A Cloudflare ajuda milhões de clientes a mitigar todo o espectro de ameaças de DNS.O DNS gerenciado da Cloudflare oferece DNSSEC com um clique para proteger contra ataques de falsificação e sequestro de DNS.Ele é criado com base na capacidade total de rede de 100 Tbps da Cloudflare, muitas vezes maior do que o maior ataque DNS por DDoS de todos os tempos e bloqueia ataques DDoS, além de outras variedades de ataque.

A rede da Cloudflare é alimentada por inteligência contra ameaças de milhões de sites, APIs e redes, ficando à frente das vulnerabilidades mais recentes automaticamente.

E essas proteções vêm sem compensações de desempenho. A Cloudflare opera o DNS autoritativo mais rápido do mundo, com um tempo médio de pesquisa de 11 ms. Você pode até mesmo manter sua infraestrutura de DNS existente enquanto usa o DNS da Cloudflare como um DNS secundário ou em uma configuração primária oculta.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Principais conclusões

Após ler este artigo, você entenderá:

  • A importância da segurança do DNS

  • As recentes vulnerabilidades do DNS e suas consequências

  • Como identificar ataques de DNS comuns

  • Como melhorar a segurança do DNS


Recursos relacionados


Saiba mais sobre esse assunto

Saiba mais sobre os desafios de segurança de DNS e como enfrentá-los sem arriscar os desafios de desempenho no artigo técnico Improving DNS security, performance, and reliability.

Receba um resumo mensal das informações mais populares da internet.