Un inusual ataque de amplificación de DDoS se llevó a cabo hace 11 días contra varios de los 13 servidores de nombres raíz de Internet, los servidores autoritativos utilizados para resolver direcciones IP.
Los ataques ocurrieron el 30 de noviembre y de nuevo el 01 de diciembre, y cada vez, grandes volúmenes de tráfico, alcanzando un máximo de cinco millones de consultas por segundo, disparadas hacia los servidores. Una nota de la Internet Assigned Numbers Authority (IANA) dijo que hubo un impacto mínimo en la Internet en general, aunque el trafico saturó redes cerca de algunas instancias de los servidores de nombre raíz DNS, dijo el anuncio.
"No hay reportes de usuarios acerca de errores visibles durante y como resultado de este incidente. Debido a que el protocolo DNS está diseñado para hacer frente a la accesibilidad parcial entre un conjunto de servidores de nombres, el impacto fue, a nuestro conocimiento, limitado a retrasos potencialmente menores para algunas operaciones de búsqueda de nombres cuando un servidor de nombres recursivo necesita consultar un servidor de nombres raíz DNS (por ejemplo, un error de caché) ", indica el aviso "Esto se habría manifestado como un retraso inicial apenas perceptible en algunos navegadores web u otros programas de cliente (por ejemplo, "ftp" o "ssh") ".
Las consultas amplificadas fueron enviados a la mayoría de las letras del servidor de nombres de raíz DNS y las direcciones de origen fueron "asignados al azar y distribuidos", dijo IANA.
"Este evento fue notable por el hecho de que las direcciones de origen fueron amplia y uniformemente distribuidas, mientras que el nombre de la consulta no lo era. Este incidente, por lo tanto, es diferente de los ataques de amplificación DNS típicos mediante el cual los servidores de nombres DNS (incluidos los DNS servidores de nombres raíz) se han utilizado como puntos de reflexión para abrumar a un tercero ", dijo el asesor.
Muchos ataques más tradicionales de amplificación DNS se aprovechan de la disponibilidad de los servidores DNS de acceso público y abierto, falsifican la dirección de origen con la dirección del objetivo para que las respuestas abrumen al mismo. En este caso, los servidores DNS de nombres raíz que utilizan IP anycast estaban viendo tráfico en volúmenes significativos. Anycast es un enrutamiento de red de uno a muchos.
"El sistema de servidores raíz DNS funciono tal como fue diseñado, lo que demuestra la solidez general en cara a inundaciones de tráfico a gran escala observados en numerosos servidores de nombres raíz del DNS", indico el anuncio. "Debido al hecho de que las direcciones IP de origen pueden ser fácilmente falsificadas, y el tráfico de eventos acabó en un gran número de sitios de difusión ilimitada, no es posible rastrear el tráfico de este incidente a su fuente."
La organización recomienda el uso de validación de direcciones de origen y BCP-38 para disminuir la capacidad de los atacantes de utilizar los paquetes falsificados en su beneficio.
Aqui el aviso original.
