Los ataques distribuidos de denegación de servicio a servidores de nombres raíz son eventos de Internet en los que los ataques distribuidos de denegación de servicio tienen como objetivo uno o más de los trece clústeres de servidores de nombres raíz del Sistema de nombres de dominio . Los servidores de nombres raíz son componentes críticos de la infraestructura de Internet , que asignan nombres de dominio a direcciones IP y otros datos de registros de recursos (RR).
En teoría, los ataques contra los servidores de nombres raíz podrían afectar el funcionamiento de todo el Sistema de nombres de dominio global y, por lo tanto, de todos los servicios de Internet que utilizan el DNS global, en lugar de solo sitios web específicos. Sin embargo, en la práctica, la infraestructura del servidor de nombres raíz es muy resistente y está distribuida, y utiliza tanto las características inherentes del DNS (almacenamiento en caché de resultados, reintentos y servidores múltiples para la misma zona con respaldo si uno o más fallan) como, en los últimos años, una combinación de técnicas de distribución por cualquier canal y equilibrador de carga utilizadas para implementar la mayoría de los trece servidores raíz individuales nominales como clústeres de servidores distribuidos globalmente en múltiples centros de datos.
En particular, las características de almacenamiento en caché y redundancia del DNS implican que sería necesaria una interrupción sostenida de todos los servidores raíz principales durante muchos días antes de que se crearan problemas graves para la mayoría de los usuarios de Internet, e incluso entonces todavía hay numerosas formas en que los ISP podrían configurar sus sistemas durante ese período para mitigar incluso una pérdida total de todos los servidores raíz durante un período prolongado de tiempo: por ejemplo, instalando sus propias copias de los datos de la zona raíz del DNS global en los servidores de nombres dentro de su red y redirigiendo el tráfico a las direcciones IP del servidor raíz a esos servidores. Sin embargo, los operadores de los servidores de nombres raíz toman en serio los ataques DDoS en la zona raíz y continúan mejorando la capacidad y las capacidades de mitigación de DDoS de su infraestructura para resistir cualquier ataque futuro.
Un ataque eficaz contra el DNS podría consistir en atacar servidores de dominio de nivel superior (como los que dan servicio al dominio .com ) en lugar de servidores de nombres raíz. Otra opción sería utilizar un ataque de intermediario o un ataque de envenenamiento del DNS , aunque serían más difíciles de llevar a cabo.
El 21 de octubre de 2002, un ataque que duró aproximadamente una hora tuvo como objetivo los 13 servidores de nombres raíz DNS. [1] Los atacantes enviaron muchos paquetes ping ICMP utilizando una red de bots a cada uno de los servidores. Sin embargo, como los servidores estaban protegidos por filtros de paquetes que estaban configurados para bloquear todos los paquetes ping ICMP entrantes, no sufrieron muchos daños y el impacto en los usuarios de Internet fue mínimo o nulo. [2]
El 6 de febrero de 2007, a las 10:00 UTC , comenzó un ataque que duró veinticuatro horas. Según se informa, al menos dos de los servidores raíz (G-ROOT y L-ROOT) "sufrieron graves daños", mientras que otros dos (F-ROOT y M-ROOT) "experimentaron un tráfico intenso". Los dos últimos servidores mitigaron en gran medida el daño distribuyendo las solicitudes a otras instancias de servidores raíz con direccionamiento anycast . La ICANN publicó un análisis formal poco después del evento. [3]
Debido a la falta de detalles, las especulaciones sobre el incidente proliferaron en la prensa hasta que se dieron a conocer los detalles. [4]
Durante dos intervalos, el 30 de noviembre de 2015 y el 1 de diciembre de 2015, varios de los servidores de nombres raíz recibieron hasta 5 millones de consultas por segundo cada uno, recibiendo consultas válidas para un solo nombre de dominio no revelado y luego para un dominio diferente al día siguiente. Las direcciones de origen se distribuyeron por todo el espacio IPv4, sin embargo, es posible que hayan sido falsificadas. Algunas redes de servidores raíz se saturaron, lo que provocó tiempos de espera; sin embargo, la redundancia entre los servidores raíz evitó que ocurrieran problemas posteriores durante este incidente. [5] [6]
El 12 de febrero de 2012, se publicó una declaración [7] en Pastebin , supuestamente de Anonymous , amenazando con un ataque a los servidores raíz el 31 de marzo de 2012. [8]
“Para protestar contra SOPA , Wallstreet , nuestros irresponsables líderes y los amados banqueros que están matando de hambre al mundo para satisfacer sus propias necesidades egoístas por pura diversión sádica, el 31 de marzo, Anonymous cerrará Internet”, se lee en la declaración. “Recuerden, esto es una protesta, no estamos tratando de ‘matar’ Internet, solo lo estamos cerrando temporalmente donde más duele… Puede que solo dure una hora, tal vez más, tal vez incluso unos días. No importa lo que pase, será global. Se sabrá”. [9]