NIC Chile alerta a la comunidad sobre la existencia de un nuevo tipo de ataques de DoS y sugiere medidas paliativas.
Durante las últimas semanas se ha comentado ampliamente en medios de prensa internacionales un ataque de denegación de servicio (Denial of Service, conocido como DoS) en Internet que se vale de servidores de nombre (DNS) para conseguir una amplificación de su poder.
Estos ataques se aprovechan de los servidores de nombre con recursividad abierta (ORN, por sus siglas en inglés). Un servidor de nombres recursivo está "abierto" cuando contesta consultas no sólo de su red local (como debiera ser) sino aquellas provenientes de cualquier origen. Por tanto, pueden ser usados como intermediarios para un ataque de DoS. Debido a que una respuesta de DNS es típicamente más grande que la consulta, el ataque es amplificado y los responsables del ataque requieren menos de su ancho de banda.
NIC Chile quiere alertar a todos los miembros de la comunidad que los ORN son un peligro para toda Internet. NIC Chile recomienda enfáticamente cerrar los ORN, siguiendo las técnicas descritas en los documentos que se referencian. Por ejemplo, en el caso de BIND, activando la opción "recursion no". Para los usuarios legítimos del servicio de recursión en su red local (o bien sus clientes en caso de ser un proveedor de acceso), necesitará usar una segunda máquina, una segunda instancia de DNS asignada a una IP distinta o incluso la característica de "vistas" en el caso de BIND 9.
Puede consultar por orientación a NIC Chile, en la dirección dnsadmin@nic.cl. NIC Chile además ha creado
una herramienta para verificar la recursividad abierta de un
servidor, disponible en:
http://www.nic.cl/cgi-bin/test-orn.pl.
NIC Chile, en cooperación con otros registros de TLD's, busca invitar a la reflexión acerca de esta vulnerabilidad y encontrar las mejores maneras de contrarrestarla. En la actualidad, diversos estudios muestran que un número importante de los servidores de nombre en Internet son ORN, lo que debe llamar nuestra atención y la de los administradores de sistemas.
Referencias-
Reduciendo el acceso a la recursividad
Documento preparado por NIC Chile, con instrucciones para bloquear la recursividad en BIND 9. -
Securing an Internet Name Server
A very good practical synthesis for the system administrator. -
DNS Amplification attacks
A good description of the current attacks. -
The Continuing Denial of Service Threat Posed by DNS Recursion
Official advice from the USA CERT. -
Stop abusing my computer in DDOSes, thanks
A description of the first known case, known as "x.p.ctrc.cc".
NIC Chile
Santiago, 6 de abril de 2006.
|
Si ya posee cuenta en el nuevo sistema: |
