1 abr. 2013

Los ataques DDoS de amplificación DNS son de este siglo

Ahora que esta semana está tan de moda el uso de ataques de amplificación utilizando servidores DNS, es importante comentar el porqué ahora es posible, cuando antes era imposible de realizar técnicamente.

Me acuerdo cuando hace muchos años estudiaba el protocolo DNS, siempre se hacía hincapié en que si la respuesta era mayor de 512 bytes, siempre se utilizaba TCP para la misma (independientemente de que si la pregunta había sido realizada con UDP, puesto que nos obliga a volver a formular la pregunta usando TCP). En esa época (a finales de los 90) era así. Pero en agosto de 1999 se propuso la RFC 2671 que pretendía añadir más funcionalidades al protocolo DNS, que no olvidemos que la RFC 1035 del DNS actual se publicó en 1987, o que el sistema de dominios se publicó en 1983 en la RFC 882.

Poco a poco se quería añadir más información en los paquetes DNS (por ejemplo debido a DNSSEC), pero no había espacio para ello; existen 7 flags en la cabecera de un paquete DNS, pero de 1987 a 1999 se vió que se necesitaban más. Además, la limitación de un paquete máximo de 512 bytes tenía sentido en la época, debido a la conectividad que había existente en los años 80, pero que hoy en día no tiene mucho sentido. El problema que tenían es el que hemos visto que ha sido el detonante de muchos problemas de seguridad actuales: todo tendría que ser compatible con lo que hubiera en ese momento. Por ello, en la RFC 2671 hicieron un parche al protocolo y se permitió añadir otros parámetros en los registros adicionales de un paquete DNS (de tal forma que si el servidor soportaba estos nuevos parámetros los aplicaría, y sino los ignoraría): había nacido EDNS0 (Extension Mechanisms for DNS, versión 0).

Contenido completo en fuente original LostInSecurity

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!