O DNSBomb é capaz de amplificar o tráfego de ataque em mais de 20 mil vezes, em alguns casos, usando uma técnica que os pesquisadores chamam de pulsos de tráfego TCP, que acumulam várias requisições pequenas e retornam uma única resposta de alto volume.
O artigo que descreve essa técnica de ataque foi publicado na revista acadêmica Proceedings of 2024 IEEE Symposium on Security and Privacy no final de maio deste ano, mas está disponível online (em PDF) no site de um dos pesquisadores.
O DNSBomb explora vários mecanismos amplamente implementados no DNS para acumular diversas consultas de DNS, que são enviadas com uma taxa baixa, amplificar essas consultas em respostas de grande porte e concentrar todas as respostas em uma "explosão" curta, um "pulso" de alto volume para sobrecarregar simultaneamente o sistema alvo. Foram avaliados 10 softwares DNS convencionais, 46 serviços DNS públicos e cerca de 1,8 milhões de resolvedores DNS abertos. Experimentos em pequena escala mostram que a magnitude do pulso de pico pode se aproximar de 8,7 Gb/s e o fator de amplificação da largura de banda pode exceder 20.000 vezes.
A partir do momento em que os cibercriminosos e hacktivistas tomarem conhecimento dessa técnica, devemos ver um aumento significativo nos ataques DDoS em todo o mundo, com risco de derrubar até mesmo sites grandes.
- CVE-2024-33655
- Site oficial: dnsbomb.net
- Paper DNSBomb: A New Practical-and-Powerful Pulsing DoS Attack Exploiting DNS Queries-and-Responses (slides) (poster)
Nenhum comentário:
Postar um comentário