Un método habitual para mitigar los ataques de denegación de servicio
distribuido basados en la amplificación DNS, se sustenta en ignorar
ciertos mensajes cuando se sospecha que son consultas destinadas a
generar un
ataque. Pero esta técnica destinada a mitigar los ataques DDoS,
pone en riesgo a los servidores que los utilizan, porque facilita a un
atacante envenenar la caché de los servidores DNS que la usan. Vamos a explicarlo en
detalle.
El protocolo DNS en general siempre ha sido el punto débil
en la red. Ataques de spoofing con diferentes técnicas, cachés envenenadas, la vulnerabilidad de Kaminsky (que es un problema de diseño intrínseco al
protocolo), los fallos propios y vulnerabilidades de implementación de BIND... Su importancia, sencillas características y falta de seguridad se prestan a todo tipo de
abusos. Últimamente el protocolo DNS está siendo usado para realizar
ataques DDoS
aprovechando la amplificación de tráfico. Pero en ciertos casos, parece
que el ... Continuar leyendo
