Se denomina como Open DNS Resolver a aquel servidor que resolver\u00e1 cualquier petici\u00f3n recursiva de informaci\u00f3n sin importar el origen de la misma.<\/p>\n
El funcionamiento normal del protocolo DNS indica que si recibe una petici\u00f3n de un dominio que desconozca buscar\u00e1 dicha informaci\u00f3n (pidi\u00e9ndosela a sus servidores DNS de referencia) y la entrega al cliente que la ha solicitado. Esto permite que cualquier ordenador pueda conectarse a cualquier sitio del mundo aunque no lo conozca previamente. El problema del Open DNS Resolver es que un tercero, que no tiene nada que ver con nuestra empresa, puede utilizar los recursos de nuestro servidor y nuestro ancho de banda para su propio beneficio. Ya no es s\u00f3lo el mero hecho de asegurar la eficiencia del servicio al eliminar un uso externo ni previsto ni autorizado, sino que pueden utilizar nuestra infraestructura como parte de un ataque a un tercero e involucrarnos sin ni siquiera tener constancia de \u00e9l.<\/p>\n
Los ataques de denegaci\u00f3n de servicio mediante t\u00e9cnicas de espejo se basan en localizar la mayor cantidad de servicios no protegidos, a los que realizar peticiones aparentemente leg\u00edtimas pero con la direcci\u00f3n IP originar\u00eda falseada por la de la v\u00edctima que quieren atacar. En nuestro caso un atacante solicitar\u00e1 la resoluci\u00f3n de un nombre de dominio extra\u00f1o, solicitando el m\u00e1ximo de informaci\u00f3n posible, de tal manera que la respuesta se env\u00ede a la v\u00edctima. Este equipo v\u00edctima recibir\u00eda una gran cantidad de informaci\u00f3n desde diferentes fuentes de tal forma que sufrir\u00eda un ataque DDoS. Si la v\u00edctima investiga el origen del atacante \u00fanicamente encontrar\u00e1 a los servidores DNS utilizados pero no el causante primario del ataque.<\/p>\n
C\u00f3mo evitar tener un servidor Open DNS Resolver<\/p>\n
A continuaci\u00f3n indicaremos las principales medidas de protecci\u00f3n para que no nuestro sistema DNS no tenga esta debilidad y evitar as\u00ed que se convierta en parte de un ataque DDoS en espejo:<\/p>\n
Si bien las dos primeras opciones evitar\u00edan el uso de nuestros sistemas (tanto servidores, como anchos de banda, confiabilidad de nuestras direcciones IP, etc.) para formar parte de estos ataques es preferible configurar siempre las redes de confianza para realizar resoluciones con recursividad de tal forma que aunque debido a un fallo de configuraci\u00f3n los servidores DNS quedar\u00e1n expuestos a Internet tampoco pudieran usarse.<\/p>\n
<\/p>\n
<\/p>\n