Nei giorni scorsi diversi alcuni registrar (soggetti che si occupano di gestire i nomi a dominio per conto degli utenti finali previo accordo con i rispettivi “registri”, ad esempio il “Registro .it” per i domini .it italiani) olandesi e neozelandesi hanno rilevato pesanti anomalie nel traffico diretto verso i rispettivi server DNS autoritativi.
I DNS autoritativi sono server autorizzati a fornire indicazioni – a tutti gli altri DNS utilizzati a livello mondiale (detti “ricorsivi”) – sulla corretta associazione tra indirizzi mnemonici e IP.
L’amministratore di un sito web fa riferimento al registrar prescelto per stabilire su quali indirizzi IP pubblici risponde un determinato sito web di sua proprietà: ne abbiamo parlato nell’articolo Server DNS: come funziona e a cosa serve Nslookup.
Vedere anche l’articolo La propagazione DNS non esiste, parola di Nslookup.io.
Indagando su quanto lamentato dai provider olandesi e neozeolandesi, un team di ricercatori dei due Paesi, in collaborazione con alcuni colleghi USA, hanno scoperto l’esistenza della vulnerabilità chiamata TsuNAME.
L’assonanza con il termine “tsunami” non è casuale: la vulnerabilità presente nell’ecosistema dei server DNS può essere sfruttata per amplificare il traffico diretto verso i DNS autoritativi lanciando un attacco DDoS (Distributed Denial of Service) potenzialmente in grado di rallentare o paralizzare tali sistemi.
La maggior parte dei server DNS disponibili oggi sono ricorsivi: nel caso in cui l’associazione tra indirizzo mnemonico e IP non fosse già conservata nella loro cache, questi sistemi usndo la query DNS dell’utente e la inoltrano a un server DNS autoritativo.
In condizioni normali milioni di server DNS ricorsivi inviano miliardi di query DNS ai server DNS autoritativi su base giornaliera.
I DNS autoritativi sono di solito ospitati e gestiti da grandi provider e organizzazioni: i grandi giganti della tecnologia, i fornitori di servizi Internet, le società che offrono servizi di registrazione dei domini, reti di distribuzione dei contenuti, organizzazioni governative e via dicendo.
Come spiegato nell’analisi tecnica di TsuNAME, un aggressore può oggi creare query DNS malevoli che sfruttano i bug nel software usato sui DNS ricorsivi per inviare query malformate in forma ciclica e infinita ai vari DNS autoritativi.
L’attacco TsuNAME sfrutta da un lato una vulnerabilità nei software adoperati sui DNS ricorsivi, dall’altro configurazioni scorrette sui DNS autoritativi che possono essere utilizzate per generare picchi di traffico indesiderati e potenzialmente dirompenti, come uno tsunami appunto. Secondo i ricercatori, facendo contemporaneamente leva su un buon numero di DNS ricorsivi, si può di fatto avviare attacchi DDoS in grado di mettere al tappeto nodi chiave della rete Internet.
Appena venuti a conoscenza del problema, i tecnici di Google e OpenDNS hanno immediatamente individuato e corretto il bug sui rispettivi sistemi (vedere anche DNS migliori: quali usare per la navigazione).
L’utilizzo del tool CycleHunter pubblicato su GitHub aiuta i gestori di DNS autoritativi a individuare eventuali dipendenze cicliche che possono causare problemi.