DNS Open Resolvers: Introducción
Los servidores de Dominio o DNS servers nos facilitan la resolución de nombres de dominios a direcciones IP, ejemplo google.com se traduce a 142.250.64.174, de esta manera nos ahorramos el tener que memorizar largas direcciones IP para acceder a un servicio web.
En infraestructuras empresariales usualmente se utilizan servidores DNS internos para acceder a servicios en la red local, pero muchos de estos son mal configurados permitiendo que un atacante desde la internet pueda interactuar y realizar ataques a través del servidor DNS, entre estos ataques se encuentra el DNS Flood, Cache Poisoning, DDoS a través de servidores Open Resolvers, entre otros.
DNS Open Resolvers: ¿Qué es?
Un DNS Open Resolver es un servidor con resolución recursiva lo que significa que cualquiera puede utilizar el servidor DNS como si fuera un servidor público. Muchos de los administrados de red no ven esto como un problema, pero, es una vulnerabilidad peligrosa.
Contar con servidores de resolución recursiva podría ser perjudicial para la red local y para toda la internet, ya que estos servidores son utilizados por los ciber atacantes como herramientas para ataques de Denegación de Servicio Distribuido (DDoS), donde, el ciber atacante puede realizar solicitudes de DNS teniendo como dirección IP la de la víctima, de esta forma hacer llegar la respuesta de forma amplificada hacia la víctima y causar la denegación de servicio por la gran cantidad de tráfico que pudiera estar recibiendo.
DNS Open ResolversB: Estadísticas
Estadísticas brindadas por ShadowServer del TOP 5 de países con DNS Open Resolvers :
- China con 605.4k
- Estados con Unidos 147.0k
- Algeria con 128.5k
- India con 117.3k
- Rusia con 104.8 k
La República Dominicana tiene expuestos un total de 2,602 servidores DNS recursivos.
DNS Open Resolvers: Peligros de un DNS Open Resolvers
Los ciber atacantes se aprovechan de la recursividad de los DNS para llevar a cabo los siguientes ataques de Denegación de Servicios (DoS):
Ataques de Amplificación:
Es una denegación de servicio basada en la reflexión volumétrica, donde, el atacante utiliza la recursividad de DNS para sobrecargar un servidor objetivo a través de la amplificación del tráfico creado por el servidor DNS.
Ataques de Reflexión y Reflexión Distribuida (DrDoS):
Los servidores DNS trabajan utilizando el protocolo UDP, el cual no valida el estado de la conexión (Stateless), los ciber atacantes se aprovechan de esto y al momento de solicitar una resolución de dominio a un servidor DNS, cambian la dirección IP de origen por la dirección IP de un servidor víctima en conjunto con un ataque de amplificación para crear la denegación de servicio.
DNS Open Resolvers: ¿Como evitar ataques?
Lo recomendable es que los servidores DNS de redes locales sean accedidos solamente desde la dentro de la red y no desde la internet. En caso de ser necesario tener estos servidores de cara a la internet, recomendamos los siguientes puntos:
- Configurar servidor DNS para que permita las resoluciones a solo direcciones IP conocidas.
- En caso de que el servidor DNS sea utilizado para resolución de un dominio público en específico, se recomienda deshabilitar la recursión.
Para saber si su servidor se encuentra con la resolución recursiva de DNS, puede utilizar las siguientes herramientas:
- openresolver.com:
- Dig:
DNS Open Resolvers: Conclusión
Tener un servidor DNS de cara a la internet no es la mejor opción, ya que hay bastantes servidores DNS públicos.
Tener un servidor DNS accesible desde la internet y con recursión habilitada puede facilitar a los ciber atacantes el poder realizar ataques de denegación de servicio utilizando el tráfico generado por el servidor DNS en conjunto con una gran cantidad de servidores vulnerables en la internet y siendo estos utilizados como una Botnet.
DNS Open Resolvers: Referencias
https://www.shadowserver.org/what-we-do/network-reporting/dns-open-resolvers-report/
https://www.shodan.io/search?query=%22Recursion%22%3A+enabled+country%3ADO