Network Security

Che cos'è un NXNSAttack?

L'attacco NoneXistent Name Server (NXNSAttack) può paralizzare un sistema DNS, rendendo impossibile agli utenti l'accesso alle risorse Internet. Ecco cosa c'è da sapere su questo nuovo attacco.

Il sistema dei nomi di dominio (DNS) è il protocollo che traduce un nome di dominio, ad esempio, paloaltonetworks.com, in un indirizzo IP - in questo caso, 199.167.52.137. Il DNS è onnipresente in Internet; senza di esso, dovremmo memorizzare le stringhe di indirizzi IP. Ma il DNS ha anche sofferto di una serie di vulnerabilità e attacchi informatici negli ultimi anni. Un nuovo attacco, chiamato NoneXistent Name Server Attack (NXNSAttack), sfrutta una vulnerabilità esposta per la prima volta da un gruppo di accademici.

Video correlati

Come gli aggressori usano il DNS per rubare i suoi dati

Un attacco NXNSAttack ha un impatto sui resolutori DNS ricorsivi, che fanno parte del processo di risoluzione DNS (o "DNS lookup"). I risolutori DNS passano le query DNS degli utenti finali ai server dei nomi autorevoli, che restituiscono le stringhe IP ai risolutori DNS e infine agli utenti finali. Il protocollo DNS ha un meccanismo di sicurezza incorporato, che consente ai server autoritari di delegare la ricerca DNS a server alternativi. Questo è il meccanismo che l'attacco NXNSAttack sfrutta.

Di seguito sono riportate le fasi dell'attacco in termini semplici.

  1. L'aggressore invia una query DNS (o query DNS multiple con l'aiuto di bot) a un Risolutore DNS per un dominio come attack[.]com. .

  2. Il Risolutore DNS, che non è autorizzato a risolvere la query, la inoltra a un server autoritario, che è di proprietà dell'attaccante o è stato compromesso. Possedere un gran numero di server autorevoli non è difficile. Una volta che gli aggressori registrano un dominio, in questo esempio attack[.]com, possono associarlo a qualsiasi server autorevole su Internet.

  3. Il server autoritario compromesso risponde al Risolutore DNS ricorsivo che delegherà la richiesta di ricerca a un ampio elenco di server alternativi. L'elenco può contenere migliaia di sottodomini per il sito web vittima.

  4. Il Risolutore DNS inoltra la query DNS a tutti i sottodomini, creando un'ondata di traffico per il server autoritario della vittima. Il traffico massiccio può mandare in crash il Risolutore DNS della vittima.

Quando il Risolutore DNS di un'azienda si blocca, non risponde più alle richieste degli utenti. Il sito web, l'e-commerce, le chat video, l'assistenza e altri servizi web non saranno disponibili.

Sono state rilasciate delle patch per evitare che gli aggressori inondino i server DNS. Una delle protezioni contro un NXNSAttack, quindi, consiste nel mantenere il software del Risolutore DNS aggiornato all'ultima versione.

Per maggiori informazioni su NXNSAttacks, visiti https://www.paloaltonetworks.it/network-security/advanced-dns-security.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce