Há algum tempo atrás, no local onde trabalho sofremos um massivo ataque que fez com que vários servidores de Active Directory na rede tivessem um consumo muito alto do serviço de DNS, o impacto foi a lentidão desses servidores e consequentemente a sentidão da rede e das autenticações dos usuários.

Fazendo uma investigação do caso, usamos para isso o Wireshark, percebemos que havia uma imensa quantidade de IPs externos resolvendo nomes de sites, ou seja, resolvendo o DNS dentro de nossa rede, nas imagens abaixo vemos o problema, dezenas de Ips externos resolvendo nomes de sites, no exemplo abaixo, todos estão sendo resolvidos pelo Ip interno 10.44.0.10, que é um servidor de Active Directory.

ddos_refletido_005

ddos_refletido_006

Reparem que a porta de origem é a 53, ou seja, solicitação de resolução de nome (DNS). É um ataque relativamente simples, porém, o estrago é alto e pode causar problemas sérios dentro de uma empresa.

Mas como isso aconteceu? A resposta é muito simples, o serviço de DNS está aberto para a internet, ou seja, nossa conexão com a WAN estava com a porta 53 aberta, desse modo, qualquer atacante externo que fizesse uma varredura na internet teria acesso ao nosso IP e poderia articular esse ataque que tanto podem ter como objetivo causar problemas na rede interna como atacar um terceiro site fazendo com que todas as respostas de resolução de DNS sejam direcionadas para o site alvo, na internet você pode encontrar diversos scripts prontos para esse tipo de ataque.

Na imagem abaixo, estou usando o Nmap para vascular a internet de forma aleatório em busca de mais ou menos 3.000 hosts que estejam com a porta 53 (DNS) aberta.

ddos_refletido_000

Com alguns IPs em mãos, basta usar uma ferramenta simples como o NSLOOKUP (nativo em Linux e Windows) para verificar se esses IPs respondem a resolução de DNS.

ddos_refletido_001

Fazendo o teste com o NSLOOKUP, a saber, o NSLOOKUP entre outras coisas resolve nome de hosts, convertendo IP em DNS e vice-versa, para usar o servidor de DNS específico basta coloca-lo no final (foi o que eu fiz, colocando o IP 124.73.10.25 no final, que é um dos IPs localizados com o Nmap).

ddos_refletido_002

ddos_refletido_003

Simples, não? Agora imagine um script que fica pegando centenas de milhares de sites e jogando para esse IP resolver o DNS, o tráfego vai ser bem alto e vai causar um grande impacto na rede, o maior problema desse ataque é que não da para saber a origem do atacante, a única medida é fazer a proteção e mudar as configurações do seu ambiente.