Serviço DNS sob ataque. Como sua empresa pode ser afetada.

Provedores de serviços de DNS na Internet sofreram ataques DDoS.

Na manhã do dia 21 de outubro um dos maiores provedores de serviços DNS da internet, o popular DynDNS, sofreu três ataques DDoS ao longo do dia, que provocaram indisponibilidade em vários serviços populares como Twitter, Netflix, Spotify, PayPal o PlayStation Network y Xbox Live e Whatsapp.

No entanto, esta não é a primeira vez que um fornecedor de serviços de DNS foi alvo desse tipo de ataque. Em 16 de maio, a rede DNS3 geridos pela NS1 foi vítima de um ataque similar.

Estes ataques não são orientados para os clientes na rede, mas o provedor de DNS. Os atacantes tentam esgotar os recursos desses servidoresutilizando um recurso chamado DNS FLOOD.

O que é DNS FLOOD?

DNS Flood é uma inundação UDP destinados aos provedores DNS. O atacante envia o tráfego UDP para a resolução de nomes. Através do envio de um grande número de pedido para o servidor DNS alvo, um atacante pode consumir os recursos do serviço que irá então resultar na degradação do serviço para solicitações legítimas.

No momento não está claro quem está por trás dos ataques, mas uma coisa é clara, os clientes de internet precisam praticar uma melhor gestão de DNS e filtragem de saída de porta 53.

Motivos para preocupação

Por trás desses ataques DDoS maciços estão dispositivos IoT (Internet das coisas) infectados. Ambos Flashpoint4 e Level35 foram capazes de identificar e confirmar que algumas das infraestruturas utilizadas no ataque de negação de serviço contra Dyn DNS eram botnets associadas com o malware Mirai. O botnet Mirai elevou à fama durante os ataques contra Brian Krebs e OVH, onde tamanhos de ataque atingiram 1.1Tbps.

Botnet Mirai

O malware Mirai Botnet (Mirai significa “futuro” em japonês) escaneia a rede (internet) procurando qualquer dispositivo conectado, IoT (internet das coisas), desde câmeras de vigilância, TVs até geladeiras e cafeteiras. Depois, faz um ataque de força bruta para verificar a senha, que normalmente é do tipo 123456 ou 11111, ou credenciais padrão como root/xc3511. Um vez com acesso ao dispositivo, infectam para enviar o tráfego para o endereço IP desejado.

No site Digital Attack Map, é possível verificar o tráfego DDoS ocorrendo nesse momento na internet. O mapa interativo mostra detalhes do tráfego.

DNS Sob ataque

Como se proteger?

Especificamente sobre o ataque DDOS do dia 21 de outubro, os clientes poderiam ter evitado a interrupção de serviço apenas configurando provedores de DNS secundário de empresas que não foram afetadas, como:

  • OpenDNS
  • VerisignDNS
  • UltraDNS
  • EasyDNS

 

 

Participe da comunidade
de tecnologia da Tripla

Localização
Rua dos Timbiras, 1532 - 4º andar Lourdes, Belo Horizonte, Minas Gerais
Telefone
+55 31 3370.2600
Contato
Proteção de Dados Pessoais
Copyright © 2020 Tripla

Fale com um de nossos consultores