Cabecera blog ciberseguridad

DNS Water Torture: cómo no ahogarse en este tsunami de peticiones

El ataque DNS Water Torture pretende saturar las capacidades de los servidores

A través de DNS Water Torture, los atacantes envían una avalancha de peticiones con el objetivo de saturar las capacidades de los servidores DNS y provocar una denegación de servicio

Las empresas son la principal diana de muchos cibercriminales. Y, en muchas ocasiones, los servidores DNS son al círculo amarillo al que apuntan sus flechas. Así, a través de ataques de denegación de servicios como DNS Water Torture, los atacantes tratan de denegar el servicio de DNS e impedir el acceso a los servicios web, entre otros.

Los ataques DDoS intentan interrumpir la actividad de los sitios web y de los sistemas de las organizaciones mediante el lanzamiento de volúmenes ingentes de peticiones. También denominados ataques distribuidos de denegación de servicio, buscan saturar las capacidades de los servidores, ocasionando un colapso y repercutiendo en la experiencia de los usuarios legítimos.

Asaltos de esta naturaleza han tenido lugar hace más de dos décadas. Recordemos a aquel adolescente canadiense bajo el pseudónimo de mafiaboy, quien puso en jaque a algunas de las compañías más importantes del momento. Y, desde aquella, su frecuencia y su intensidad no han dejado de aumentar. De hecho, el mayor ataque DDoS de la historia se produjo hace tan solo un par de meses, cuando Cloudflare se enfrentó a más de 70 millones de solicitudes maliciosas por segundo.

No obstante, estas ofensivas no solo se dirigen hacia las firmas privadas. Cualquier institución con exposición a Internet puede convertirse en el blanco de los atacantes, que proceden a lanzar contra ella ataques coordinando sus redes de bots.

En tan solo una semana, las webs de la Casa Real, del Ministerio de Justicia, del Ministerio de Protección Territorial, de CERES, de Navantia, de Renfe, de IEEE y de la Corte de Arbitraje de Madrid fueron atacadas. Y estas tan solo representan un pequeño porcentaje del total de entidades que se hallan bajo el punto de mira de los agresores. Por este motivo, reforzar las murallas de protección contra ataques como DNS Water Torture se alza como una tarea prioritaria en la era digital.

1. Entendiendo el sistema de nombres de dominio

No existe una única clase de ataques distribuidos de denegación de servicio, sino que se pueden distinguir varias categorías. Entre ellas, se hallan las ofensivas focalizadas en el sistema de nombres de dominio, cuyo objetivo consiste en hacer colapsar la resolución de DNS del dominio de la víctima.

Conocido en inglés como Domain Name System, este protocolo de internet desempeña las funciones de una guía telefónica. Pero, para comprender bien su funcionamiento, es imprescindible entender cómo acceden a las webs los internautas y los navegadores.

Estos últimos se sirven de las direcciones IP, una combinación única de números separados por puntos que identifican la dirección en capa 3 de un interfaz de red. Sin embargo, la memoria de las personas es limitada, y no sería operativo recordar la IP de cada web, por poner un ejemplo. Por eso, los usuarios se limitan a escribir el nombre de dominio (como www.ejemplo.com) en sus navegadores, ya que es más sencillo memorizar las direcciones formadas por letras.

A continuación, entra en juego el protocolo DNS. Es el encargado de traducir ambos mundos, identificando cuál es la dirección IP del dominio tecleado por el internauta. Este sistema juega un papel primordial: sin él, las comunicaciones en los entornos online serían más complejas.

Cada proveedor de servicios de internet suele poner a disposición de sus clientes sus propios servidores DNS. De este modo, cuando una persona realiza una petición desde su hogar, realmente le está preguntando al DNS facilitado por su proveedor si conoce cuál es la dirección IP del dominio al que desea acceder, aquel que ha tecleado. Y dicho servidor puede saberla o puede no saberla de forma directa.

En caso positivo, le transmite la respuesta al usuario, quien a partir de ese momento ya puede establecer conexión con esa web. Pero, ¿qué sucede si lo desconoce? Entonces, esa petición comienza a escalar de forma recursiva a través de una jerarquía de servidores DNS, en busca de uno que pueda responderle. En última instancia, la solicitud ascenderá hasta el DNS autoritativo del dominio: el servidor DNS que gestiona los nombres del dominio que se desea resolver y sobre el que se incluye la página web a la que se desea acceder.

Destacar que, una vez el DNS autoritativo ha contestado con la respuesta a la petición, dicha respuesta sigue el camino inverso llevado a cabo por la petición, hasta regresar al internauta que inició la consulta y establecer la conexión.

2. El tiempo de vida de un registro DNS

Pero, ¿por qué algunos de los servidores DNS intermedios tienen la respuesta y otros no? La clave reside un concepto denominado Time To Live (TTL) para un determinado registro DNS.

Los servicios DNS mantienen una serie de registros donde se almacena información relativa al protocolo, tales como respuestas DNS a peticiones previas. Este enfoque es sumamente eficaz para agilizar resoluciones futuras puesto que, si un usuario realiza una nueva petición que ya se ha respondido en el pasado, el servidor DNS podrá contestar directamente sin necesidad de escalar la petición hasta llegar de nuevo al servidor DNS autoritativo. Al guardar la respuesta en sus registros, se podrá responderle al instante, reduciendo la carga de trabajo del resto de la infraestructura.

Pero estos registros no son infinitos y consumen memoria y tiempo de procesado. Toda la información alojada en dichos registros tiene una fecha de caducidad, popularmente conocida como Time To Live. Un indicador que expresa el tiempo de vigencia de una resolución sin necesidad de volver a escalarla de nuevo a otros servidores DNS.

Supongamos, por ejemplo, que un servidor DNS disfruta de un TTL de dos horas. La primera vez que una persona realiza una petición de resolución del dominio de www.ejemplo.com, el servidor del proveedor tendrá que recurrir al servidor autoritativo. No obstante, esto ya no es necesario para el resto de solicitudes que se produzcan durante las dos horas siguientes, que podrá resolver de manera autónoma. Y, una vez que transcurre ese período de tiempo, tendrá que volver a echar mano del servidor autoritativo, reiniciando nuevamente la cuenta atrás.

A primera vista, no parece que este protocolo entrañe un gran peligro. Pero no hay ningún espacio exento de riesgos. Los cibercriminales acechan en todos los rincones en busca de cualquier vulnerabilidad, por pequeña que sea. A fin de cuentas, si logran explotarla, puede convertirse en una puerta de entrada a las organizaciones.

Por esta razón, las compañías que desean fortalecer su infraestructura no deben subestimar ataques como DNS Water Torture. En un entorno tan cambiante, es vital permanecer al día de las nuevas técnicas empleadas por los criminales, diseñando medidas de prevención y respuesta que resulten eficaces para neutralizar esas tentativas.

El ataque DNS Water Torture puede afectar a toda clase de organizaciones

3. DNS Water Torture

Muchos usuarios malintencionados utilizan los servidores DNS como un vector de ataque para amenazar a las empresas e interrumpir sus comunicaciones. Un objetivo que materializan a través de ataques DDoS extremadamente dañinos, como es el caso de DNS Water Torture.

La elección del nombre no es accidental. La tortura de agua consistía en echar gotas de agua fría sobre la cabeza o la frente de una persona durante un período de tiempo muy prolongado. Estas gotas caían de forma irregular, de modo que la víctima trataba de anticipar cuándo impactaría la siguiente, sin poder conciliar el sueño. Y esto repercutía en su estabilidad mental, llevándola al punto de rozar la locura.

En la actualidad, este método de tortura ha dado el salto a las esferas digitales. DNS Water Torture logra desestabilizar por completo servidores críticos en cualquier jerarquía DNS: los autoritativos. ¿Cómo?

En lugar de gotas de agua, se emplean subdominios aleatorios. Los cibercriminales escriben dominios inexistentes, incluyendo hasta un máximo de 16 caracteres antes del verdadero dominio (como qwertyuiop.www.ejemplo.com). Lógicamente, el servidor DNS del proveedor no es capaz de hallar la dirección IP en cuestión, por lo que realiza una petición recursiva y pide ayuda al resto de servidores.

Como no existe, ninguno conocerá la respuesta a la petición DNS. Por consiguiente, la solicitud va escalando hasta alcanzar el servidor autoritativo. Con esta técnica, los atacantes se aseguran de forma sencilla que todo el tráfico malicioso llegará a su destino, es decir, el servidor autoritativo del dominio de la víctima.

Si se echa mano de una red de bots, el total de peticiones malintencionadas se multiplicará, y el aumento del tráfico falso podría incrementar el consumo de CPU y de memoria. Si la infraestructura no es capaz de aguantar la carga de DNS Water Torture, el ataque prosperará y caerán los servidores, dando lugar a una situación de denegación de servicio.

Y aquí comienzan los problemas para la organización, porque el resto de servidores DNS serán incapaces de completar las resoluciones de dominio sin el servidor autoritativo correspondiente.

Sin embargo, los efectos del ataque no se van a comprobar de manera inmediata. ¿Por qué? Como hemos visto anteriormente, todos los servidores tienen un Time To Life.

Si la memoria caché de los equipos resiste tres horas, todavía pasará un tiempo hasta que el primer usuario no pueda acceder a la web. Pero si transcurrido ese plazo el ataque DNS Water Torture persiste, el sitio web quedará incomunicado, dado que ningún servidor encontrará la IP correspondiente al dominio. Y ningún usuario podrá resolver el dominio www.ejemplo.com para conectarse y acceder a la página.

En resumen, todo dominio posee un servidor autoritativo identificable de forma trivial. Con relativamente poco esfuerzo, pueden lograr que esté a su merced, dejándolo ciego y causando daños severos en los recursos que comparten ese dominio.

4. DNS Reflection

Hay que tener en mente que DNS Water Torture no es el único modo de provocar una situación de DoS mediante el abuso de protocolos DNS. Muchos usuarios malintencionados emplean, por ejemplo, las técnicas reflectivas para atacar a equipos concretos concretas en lugar de a dominios.

En estos casos, y si el proveedor de Internet del atacante lo permite, los atacantes spoofean la IP de su víctima, suplantando su identidad ante los servidores DNS. Posteriormente, remiten grandes volúmenes de peticiones de resolución DNS. Aunque, a diferencia de DNS Water Torture, ya no es necesario que las peticiones sean aleatorias.

Como el cibercriminal ha falsificado su IP origen, no recibe de vuelta esas respuestas. El camino tiene un nuevo destino: la dirección IP suplantada. Los servidores DNS no son conscientes del engaño y envían esas comunicaciones a al equipo suplantado , creyendo que fue éste quien las envió en un origen. Como indica su nombre, este ataque funciona como una especie de espejo, reflejando las peticiones.

De esta manera, se transmite un aluvión de respuestas DNS que termina por saturar las capacidades del equipo de la víctima, dejándola fuera de juego. No obstante, esta modalidad entraña una complejidad más elevada, ya que obliga al atacante a spoofear una IP para que los servidores remitan el tráfico al target escogido.

Al mismo tiempo, la red de servidores DNS actúan como un intermediario, escondiendo la posición del atacante y confundiendo a la víctima, que desconoce la procedencia de la avalancha.

5. DNS Amplification

Además de DNS Water Torture y DNS Reflection, existe un tercer ataque empleado por los cibercriminales para lanzar este tipo de ataques DDoS mediante el abuso del protocolo DNS. Y es DNS Amplification.

El sistema anterior se basa en la proporcionalidad. El número de peticiones enviadas por el atacante es equivalente al número de peticiones que asaltan a la víctima. En consecuencia, para desestabilizar los equipos hay que enviar una cantidad de solicitudes muy elevada. Si no, hay muchas probabilidades de que estos sean capaz de soportar la carga adicional que representan las ofensivas.

Pero con DNS Amplification los asaltantes lo tienen todavía más fácil. Esta técnica se basa en explotar la asimetría que pueda existir entre el volumen de tráfico de una petición con respecto a su respuesta. Si el total del tráfico enviado por el atacante es sensiblemente inferior al reflejado hacia la víctima por parte del servidor DNS, las probabilidades de generar una situación de DoS son mucho mayores.

De esta manera los atacantes necesitan menos recursos para lograr sus objetivos.

Los servidores DNS son el objetivo de los atacantes que llevan a cabo el ataque DNS Water Torture

6. ¿A qué organizaciones afectan estos ataques?

El mito de que los atacantes solo ponen en el punto de mira a grandes multinacionales está bastante extendido. Y esta creencia puede pasar factura. Si bien es cierto que los casos más escandalosos son los que afectan a firmas más grandes con millones de clientes, esta diferencia en la repercusión no significa que las empresas pequeñas y medianas se libren del cibercrimen.

Todo lo contrario. Estas compañías no tienen presupuestos dedicados a la ciberseguridad tan ambiciosos, de modo que las consecuencias derivadas de ataques como DNS Water Torture pueden ser todavía más devastadoras.

Los ecommerce son un ejemplo muy revelador del daño que causan estos peligros. Las tiendas online son el mayor canal de negocio de muchas empresas. Si sucumben a estas amenazas y se interrumpe su servicio, el golpe económico derivado de este parón desestabilizaría su salud financiera.

Una situación especialmente crítica en el Black Friday u otras épocas de rebajas. Fechas señaladas en las que los comercios electrónicos experimentan picos de tráfico y ventas. Por esta razón, es crucial reforzar su web, con el objetivo de prevenir posibles caídas y aprovechar al máximo este tipo de oportunidades de venta.

Las empresas que cotizan en la bolsa de valores son otras de las grandes afectadas por ataques como DNS Water Torture. Estas firmas celebran una junta de accionistas anualmente, y los inversores acuden a su sitio web para consultar la información disponible. Además, muchas compañías están obligadas por ley a presentar sus resultados de forma pública. Si no lo hacen a tiempo, podrían enfrentarse a sanciones.

Las organizaciones que trabajan en actividades más sensibles, como los bancos online, también deben prevenirse de estas amenazas, sin importar su dimensión o su sector. Y, ¿qué hay del móvil del agresor? Los motivos que lo mueven pueden ser muy variados: puede hacerlo para chantajear a la empresa y ganar dinero, por razones personales o comerciales…

7. ¿Cómo luchar contra DNS Water Torture?

¿Cuál es la manera más efectiva de evitar ser víctima de la denegación de servicio? La prevención. Y esta comienza a la hora de decidir la arquitectura de sistemas.

Mientras que algunas firmas apuestan por servidores on-premise, otras alquilan los equipos y delegan la gestión en proveedores cloud. A la vez, las más precavidas no se limitan a contratar un equipo, sino que disponen múltiples servidores. Así, en caso de que uno falle, el servicio no se caerá, y disfrutarán de un nivel de redundancia muy valioso para facilitar su continuidad de negocio.

La capacidad para escalar es otra de las ventajas de confiar en los proveedores en la nube. Ante el más mínimo síntoma de ataque, estas compañías ofrecen la posibilidad de aumentar el número de computadoras dedicadas a gestionar las peticiones, con el objetivo de repartir las cargas de trabajo de modo eficiente e impedir la saturación de las máquinas.

Esta infinidad de servidores es una barrera de defensa eficaz para resistir ataques de grandes dimensiones como DNS Water Torture. Y, a pesar de que una computadora se caiga temporalmente, habrá otra disponible para asumir sus funciones y prevenir que el fallo repercuta en la experiencia de usuario.

Todo esto resulta más difícil cuando es la propia compañía quien se encarga de gestionar los servidores. Los sistemas on-premise no son tan escalables, y es más probable que se dobleguen ante la inundación de solicitudes. Especialmente si se trata de pequeñas o medianas empresas que no cuentan con una infraestructura robusta y no gozan de un presupuesto elevado para estas cuestiones.

Sin embargo, para reforzar el muro de protección de las organizaciones es indispensable tener en cuenta todos los frentes. Una labor crítica cuando se trata de negocios que trabajan con información sensible o que dependen de los canales de venta digitales. Y la alianza con expertos en ciberseguridad como Tarlogic es clave para intentar mantener alejados a los atacantes, simulando ataques en entornos controlados mediante los DoS tests.

En definitiva, los grandes proveedores son los que están mejor preparados para soportar los altos volúmenes de tráfico gracias a la escalabilidad de su infraestructura, que ha probado su eficacia en todo tipo de ataques. Y los clientes que incorporen este servicio accederán a un escudo muy valioso que les ayudará a combatir los golpes de los cibercriminales.