(https://i.postimg.cc/XYZSSFHb/DNS-DDo-S-Attack-Protections.png) (https://postimages.org/)
Múltiples proveedores de servicios y software de DNS actualizarán su software, para acelerar el tráfico de DNS, y lucharán contra los ataques DDoS.
El cambio será agregado por los principales proveedores de resolución (es decir, ISC, CZ NIC, NLNET Labs, PowerDNS) a sus resoluciones de DNS de código abierto, una actualización que afectará directamente a todos los servidores autorizados que "no cumplen con el estándar DNS original de 1987 (RFC1035) o los estándares EDNS más recientes de 1999 (RFC2671 y RFC6891) ".
En este momento, CZ.NIC, Cloudflare, NLnet Labs, CleanBrowsing, ISC, PowerDNS, Facebook, Cisco, Google y Quad9 son los proveedores de software y servicios de DNS que respaldan esta iniciativa.
Como se sugirió al principio, además del obvio aumento de la velocidad al reducir la latencia del tráfico DNS y facilitar la adición de nuevas funciones de este protocolo, la consecuencia más importante de los cambios, es una nueva capacidad de los proveedores de DNS para luchar contra los DDoS, y debilitar a los que abusan de dicho protocolo y servicios.
Se recomienda a los propietarios de dominios que verifiquen si sus sitios web están listos para el cambio del 1 de febrero y vean que "los sitios alojados en servidores autorizados incompatibles pueden llegar a ser inalcanzables a través de los servicios actualizados".
El sitio web dnsflagday.net proporciona una herramienta de diagnóstico que los propietarios de dominios pueden usar para verificar problemas de DNS y recibir consejos sobre los pasos que deben seguir para evitar ser afectados.
Cambios de DNS para ayudar a reducir los ataques DDoS basados en DNS
Aunque el ISC o la página del Día de la Bandera de DNS no mencionan directamente qué tipo de ataques DDoS podrían reducirse debido a estos cambios, en inicio, los ataques de "DNS flood" y de amplificación de DNS serán los más afectados, aunque el envenenamiento de caché y los ataques de DNS de flujo rápido (fast flux DNS), entre otros, también pueden verse afectados por cambios futuros en el software de resolución de DNS.
En el primer caso, según Cloudfare, los servidores DNS de un dominio están inundados de solicitudes de DNS para interrumpir sus servicios de resolución de DNS, generalmente utilizados por los atacantes con acceso a redes de bots de IoT a gran escala para atacar a los principales proveedores y, por lo tanto, interrumpir el mayor número posible de destinos.
Los ataques de amplificación de DNS, por otro lado, utilizan otra debilidad en los servidores de DNS que permite a los atacantes generar enormes cantidades de tráfico.
Fuente:
Bleepingcomputer
https://www.bleepingcomputer.com/news/security/dns-ddos-attack-protections-to-be-forcefully-enabled-for-non-compliant-sites/