Los ataques DDoS de amplificación DNS son de este siglo

abril 1, 2013 § Deja un comentario

Ahora que esta semana está tan de moda el uso de ataques de amplificación utilizando servidores DNS, es importante comentar el porqué ahora es posible, cuando antes era imposible de realizar técnicamente.

Me acuerdo cuando hace muchos años estudiaba el protocolo DNS, siempre se hacía hincapié en que si la respuesta era mayor de 512 bytes, siempre se utilizaba TCP para la misma (independientemente de que si la pregunta había sido realizada con UDP, puesto que nos obliga a volver a formular la pregunta usando TCP). En esa época (a finales de los 90) era así. Pero en agosto de 1999 se propuso la RFC 2671 que pretendía añadir más funcionalidades al protocolo DNS, que no olvidemos que la RFC 1035 del DNS actual se publicó en 1987, o que el sistema de dominios se publicó en 1983 en la RFC 882.

Poco a poco se quería añadir más información en los paquetes DNS (por ejemplo debido a DNSSEC), pero no había espacio para ello; existen 7 flags en la cabecera de un paquete DNS, pero de 1987 a 1999 se vió que se necesitaban más. Además, la limitación de un paquete máximo de 512 bytes tenía sentido en la época, debido a la conectividad que había existente en los años 80, pero que hoy en día no tiene mucho sentido. El problema que tenían es el que hemos visto que ha sido el detonante de muchos problemas de seguridad actuales: todo tendría que ser compatible con lo que hubiera en ese momento. Por ello, en la RFC 2671 hicieron un parche al protocolo y se permitió añadir otros parámetros en los registros adicionales de un paquete DNS (de tal forma que si el servidor soportaba estos nuevos parámetros los aplicaría, y sino los ignoraría): había nacido EDNS0 (Extension Mechanisms for DNS, versión 0).

Contenido completo en fuente original LostInSecurity

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Los ataques DDoS de amplificación DNS son de este siglo en Seguridad Informática.

Meta

A %d blogueros les gusta esto: