Cómo DNSBomb destruirá tu servidor: detalles del nuevo ataque PDoS

Científicos han revelado detalles de una nueva y poderosa técnica de ataque "DoS pulsante" (pulsing denial-of-service, PDoS), que utiliza solicitudes y respuestas DNS para alcanzar un factor de amplificación del ataque de 20,000 veces.

En esencia, el ataque, denominado DNSBomb ( CVE-2024-33655 ), explota funciones legítimas de DNS como limitaciones en la frecuencia de solicitudes, tiempos de espera de respuestas a solicitudes, agregación de solicitudes y configuraciones del tamaño máximo de respuesta. Estos mecanismos permiten crear flujos sincronizados de respuestas utilizando un servidor autoritativo especialmente diseñado y un resolutor DNS recursivo vulnerable.

Mecanismo del ataque DNSBomb

Los especialistas explican que DNSBomb utiliza múltiples mecanismos ampliamente implementados de DNS para acumular solicitudes enviadas a baja velocidad, aumentar su tamaño en las respuestas y concentrar todas las respuestas en períodos cortos y de alto volumen para sobrecargar simultáneamente los sistemas objetivo.

Estrategia del ataque

El modelo de ataque incluye la suplantación de IP de varias solicitudes DNS a un dominio controlado por el atacante y la demora en las respuestas para agregar múltiples respuestas. El objetivo de DNSBomb es sobrecargar a la víctima con ráfagas periódicas de tráfico amplificado, que es difícil de detectar.

Presentación de resultados y medidas de protección

Los resultados de la investigación se presentaron en el 45º Simposio IEEE sobre Seguridad y Privacidad, que tuvo lugar la semana pasada en San Francisco, y anteriormente en el evento GEEKCON 2023, que se celebró en Shanghai en octubre de 2023.

La organización Internet Systems Consortium (ISC), que desarrolla y mantiene el software BIND, declaró que su software no es vulnerable a DNSBomb. Además, las medidas existentes de mitigación son suficientemente efectivas para minimizar los riesgos.