Cos'è un attacco DNS?
Un attacco DNS è un tipo di attacco in cui un hacker sfrutta le vulnerabilità del DNS (Domain Name System), un elemento cruciale dell'infrastruttura Internet. Il DNS traduce i domini leggibili per l’utente in indirizzi IP comprensibili per i computer, in modo da garantire il corretto funzionamento di Internet.
Cosa sono gli attacchi DNS?
Il DNS è stato creato pensando al suo utilizzo, non alla sicurezza: per questo è vulnerabile a diversi tipi di attacco. Gli hacker sfruttano le comunicazioni in testo normale tra client e server o utilizzano credenziali rubate per ottenere un accesso non autorizzato. Gli attacchi DNS possono danneggiare completamente le reti e i servizi di un'organizzazione, con conseguenti danni economici e alla reputazione, oltre alla perdita di fiducia da parte del cliente.
Nell’ambito dell’hosting Cloud, il DNS svolge un ruolo fondamentale nell’assegnare i domini completi (FQDN, Fully Qualified Domain Name), come www.ovhcloud.com, a risorse Cloud come le macchine virtuali (VM) o le zone ospitate. La sicurezza del DNS nel Cloud è una responsabilità condivisa. Il provider DNS è responsabile dell'implementazione, della manutenzione, della sicurezza, delle prestazioni e dell'affidabilità dei server DNS, mentre il cliente deve occuparsi della configurazione specifica, inclusi domini, zone, record e account amministratore.
Nell’ambiente Cloud, un attacco DNS può avere gravi conseguenze a livello di cybersecurity: può compromettere la funzionalità dei server DNS e la risoluzione dei domini, pregiudicando la disponibilità e la stabilità del servizio DNS di una rete. Questo può portare a gravi conseguenze, come furti di dati, downtime del sito Web e attacchi malware.
Quali sono i principali tipi di attacco DNS?
Gli attacchi DNS possono variare a livello di metodo utilizzato, gravità ed esito. In questa sezione illustreremo alcuni dei tipi di attacchi DNS più comuni contro cui le organizzazioni devono proteggersi. Inoltre, descriveremo brevemente il funzionamento di ogni tipo di attacco.
DNS hijacking
Il DNS hijacking comporta il reindirizzamento non autorizzato delle query DNS verso siti malevoli. Gli hacker manipolano i record DNS per reindirizzare gli utenti verso siti Web fraudolenti, esponendoli al furto di dati o alla diffusione di malware. Questo può avvenire tramite diversi metodi, ad esempio compromettendo i server DNS o tramite attacchi man-in-the-middle in cui l’autore dell’attacco intercetta e modifica le query DNS.
TCP SYN flood
Il SYN TCP flood è un attacco di tipo Denial of Service in cui un hacker invia una rapida sequenza di richieste SYN al sistema di un utente nel tentativo di consumare abbastanza risorse server da impedire la risposta del sistema al traffico legittimo. Questo attacco sfrutta il processo di handshake TCP.
Attacco phantom domain
In un attacco phantom domain vengono creati domini falsi (“fantasma”) che generano grandi volumi di traffico DNS. Questo può sovraccaricare i resolver DNS e causare un’interruzione del servizio.
DNS tunneling
Il DNS tunneling è un metodo in cui gli hacker incapsulano i dati di altri programmi o protocolli all'interno di query e risposte DNS. Questa tecnica può essere utilizzata per le comunicazioni di comando e controllo (C2), l’esfiltrazione dei dati o per aggirare le misure di sicurezza della rete, perché spesso il traffico DNS non viene analizzato con la stessa attenzione del traffico Web o delle email.
Attacchi basati su botnet
Gli attacchi basati su botnet utilizzano una rete di computer compromessi (bot) controllati da un hacker per lanciare attacchi coordinati, come attacchi DDoS, campagne di spam o malware. A causa della loro natura distribuita, è difficile difendersi da questo tipo di attacco.
Amplificazione DDoS
L’amplificazione DDoS è una tecnica utilizzata in un attacco DDoS in cui l’autore dell’attacco sfrutta una caratteristica del protocollo di rete che permette di moltiplicare il volume di traffico diretto verso l’obiettivo. Questo si verifica falsificando l'indirizzo IP del target e inviando piccole richieste a un server di terze parti che genera una risposta più ampia per il target.
Attacco DNS cache poisoning
Il DNS cache poisoning comporta l'inserimento di dati DNS falsi nella cache del resolver DNS, che restituisce un indirizzo IP errato per un dominio. In questo modo è possibile reindirizzare gli utenti verso siti dannosi a loro insaputa. L'attacco sfrutta le vulnerabilità del sistema DNS per sostituire gli indirizzi IP legittimi con quelli controllati dall'hacker.
Cover attack
In un DNS cover attack, l'hacker manipola il DNS per creare una deviazione o “copertura”. In questo modo si riescono a distrarre i sistemi di sicurezza e il personale della rete, consentendo all'hacker di condurre, contemporaneamente o subito dopo, un attacco diverso, spesso più dannoso. Lo scopo principale del DNS cover attack non è quello di sfruttare il DNS, ma di utilizzarlo come mezzo per agevolare un altro attacco.
Malware
Nel contesto degli attacchi DNS, un attacco malware prevede l'utilizzo di un software malevolo per sfruttare le vulnerabilità nel DNS di una rete. Gli hacker possono utilizzare il malware per interrompere la funzionalità dei server DNS o manipolare la risoluzione dei domini, causando danni a computer, server, client o reti di computer.
Attacco DNS flood
Un attacco DNS flood è un tipo di attacco Denial of Service in cui l’hacker invia numerose richieste DNS a un server target con l'obiettivo di sovraccaricarlo e causare un’interruzione del servizio. In questo modo impedisce agli utenti legittimi di accedere ai servizi forniti dal server DNS colpito dall’attacco.
Attacco Distributed Reflection Dos
In un attacco Distributed Reflection Denial of Service (DRDoS), l'hacker sfrutta la funzionalità dei server DNS aperti per sovraccaricare un sistema target “inondandolo” di traffico. L'hacker invia a questi server numerose richieste di ricerca DNS con un indirizzo IP sorgente contraffatto (spoofed) che appartiene alla vittima. Di conseguenza, i server DNS rispondono all'indirizzo della vittima con i dati di risposta DNS, che sono molto più ampi della richiesta.
Funzionamento degli attacchi DNS
Gli attacchi DNS funzionano sfruttando le vulnerabilità del Domain Name System (DNS), un elemento fondamentale dell'infrastruttura Internet.
In un tipico attacco DNS, l'hacker invia una richiesta di ricerca DNS al server DNS aperto, falsificando l'indirizzo sorgente e facendolo diventare l’indirizzo target. Quando il server DNS invia la risposta del record DNS, questa viene inviata al target. Questo può portare a diverse attività dannose come la compromissione della connettività di rete, l’arresto dei server, il furto di dati o il reindirizzamento degli utenti a siti fraudolenti.
Gli attacchi DNS possono anche comportare una forma di manipolazione e utilizzo del sistema DNS per attuare crimini informatici. Negli attacchi più comuni, per eseguire un attacco DNS con esito positivo è necessario che il responsabile della minaccia intercetti la query DNS e invii una risposta non corretta prima che il server DNS legittimo possa rispondere.
Come prevenire gli attacchi DNS
Per ridurre il rischio di attacchi DNS, le organizzazioni dovrebbero mettere in atto misure come l'utilizzo dell'ultima versione del software DNS, il monitoraggio costante del traffico, la configurazione dei server per duplicare, separare e isolare varie funzioni DNS e l’adozione dell'autenticazione a più fattori quando si apportano modifiche alle impostazioni DNS dell'organizzazione.
Per proteggersi da un attacco DDoS bisogna associare buone pratiche, misure di sicurezza e un attento monitoraggio. Ecco alcune strategie per prevenire gli attacchi DNS, incluse alcune specifiche degli ambienti di hosting Cloud:
- Controllo delle zone DNS: controlla e pulisci regolarmente i record DNS per rimuovere le voci obsolete o non necessarie. In questo modo si riduce la superficie di attacco ed è più semplice individuare le anomalie.
- Aggiornare i server DNS: aggiorna regolarmente il software DNS per assicurarti che disponga delle patch di sicurezza e dei miglioramenti più recenti.
- Limitare i trasferimenti di zona: i trasferimenti di zona dovrebbero essere limitati ai server DNS secondari necessari per impedire l’accesso non autorizzato ai dati DNS.
- Disabilitare la ricorsione DNS: la ricorsione DNS deve essere disabilitata nei server DNS autoritativi per impedirne l'utilizzo negli attacchi di amplificazione DNS.
- Utilizzare DNSSEC: DNSSEC (Domain Name System Security Extensions) assicura la protezione dagli attacchi di DNS spoofing aggiungendo firme digitali ai dati DNS.
- Utilizzare strumenti di prevenzione delle minacce: usa un threat feed per bloccare le richieste a domini dannosi. Filtrare le minacce DNS può aiutare a fermare gli attacchi all'inizio della “kill chain”.
Invia il contenuto solo a un elenco di indirizzi IP affidabili per prevenire attacchi DNS spoofing. Inoltre, è utile considerare che un firewall DNS completo di tutte le funzionalità è in grado di proteggere da diversi tipi di attacco DNS e include il rilevamento automatico di malware, algoritmi di generazione dei domini ed esfiltrazione dei dati DNS.
In un ambiente di hosting Cloud, è possibile adottare misure aggiuntive, come i gruppi di sicurezza e le liste di controllo degli accessi alla rete (ACL) per controllare il traffico in entrata e in uscita rispettivamente a livello di istanza e di sottoreti.
Ricorda che la sicurezza dei DNS nel Cloud è una responsabilità condivisa. Il provider Cloud è responsabile della sicurezza del Cloud, mentre il cliente è responsabile della sicurezza nel Cloud, che prevede la corretta configurazione di domini, zone e record e l’amministrazione degli account utente.
OVHcloud e gli attacchi DNS
OVHcloud fornisce una soluzione DNS sicura basata su una serie di misure. Una delle funzionalità principali è l'utilizzo di DNSSEC (Domain Name System Security Extensions), che protegge dagli attacchi diretti al server DNS. DNSSEC utilizza principi di crittografia asimmetrica e firme digitali per garantire l’autenticità dei dati e fornisce una protezione contro il cache poisoning, un metodo utilizzato dagli hacker per falsificare le risposte DNS e deviare il traffico verso i propri server.
Oltre a DNSSEC, OVHcloud offre una protezione dalle richieste di trasferimento fraudolente, garantendo la protezione del dominio dai furti. Per offrire un Cloud sicuro, garantiamo l’adeguata protezione delle diverse parti della catena del valore: datacenter, sistemi e servizi.
Inoltre, OVHcloud dispone di un'infrastruttura anti-DDoS per proteggere i servizi dagli attacchi DDoS e offre la gestione delle identità e degli accessi (IAM) per gestire in modo sicuro le identità degli utenti e delle applicazioni e i relativi permessi.
OVHcloud offre un approccio completo alla sicurezza DNS e si avvale di una serie di tecnologie e protocolli per garantire la sicurezza e l'integrità del dominio.