Introducción

El servicio de DNS es sin duda alguna uno de los pilares de Internet, sin DNS el Internet no sería ni remotamente como lo conocemos hoy en día.

DNS es el servicio que permite -entre otras funciones- convertir nombres de dominios a direcciones IP y viceversa.

Sobre el proyecto IPv6 Open Resolvers:

Dentro de Lacnic, desde comienzos del año 2018 [1] estamos en la búsqueda de servidores DNS sobre IPv6 que son consideraciones "Open Resolvers" [2]

¿Que tiene que ver 6to4 con Open Resolvers y seguridad?

Durante el tiempo que tiene este proyecto en funcionamiento hemos tenido la oportunidad de exponer el estudio y sus resultados [3] en sitios como DNS-OARC 28 , LACNIC 29 y NANOG 74. En esta última, recibimos muy buenos comentarios y quizás el más significativo fue el de George Wes donde él indicaba la existencia de muchos servidores DNS con direcciones IP 6to4 [4] las cuales utilizan direcciones IP de túneles automáticos dentro del prefijo 2002::/16.

En base a lo anterior, decidimos profundizar en este concepto y estudiar con más detalle los resolvers con direcciones IPv6 6to4 y obtuvimos información muy interesante.

Por ejemplo, el día 2 de Diciembre del 2018 estudiamos: 6248 servidores, de los cuales 61 estaban contenidos en el prefijo 2002::/16, y de aquí tuvimos 20 servidores abiertos, es decir, casi un 33%. Todos estos servidores Open Resolvers abiertos y potenciales para realizar difentes tipos de ataques como: DDoS, Amplificación, DNS Spoofind, hijacking y muchos otros.

Aquí tenemos dos gráficos de lo arriba expuesto:

Conclusión

Primero, el problema per sé no es el 6to4, son los Open Resolvers. Segundo, como administrador de servidores DNS ustedes deben querer responder a la mayor cantidad de queries posibles de clientes válidos, nuestra recomendación no se ajusta solo a redes 6to4, sino básicamente la implementación de RLL (Response Rate Limit) a los queries según el origen, claro prestarle mayor atención a las provenientes del prefijo 2002::/16 no es mala idea.

Referencias

[1] https://labs.lacnic.net/aportando_un_grano_de_arena_en_la_seguridad_de_la_red/

[2] https://www.bsi.bund.de/EN/Topics/IT-Crisis-Management/CERT-Bund/CERT-Reports/HOWTOs/DNS-Open-Resolver/DNS-Open-Resolver_node.html

[3] https://stats.labs.lacnic.net/IPv6/DNSOpenResolver/

[4] https://en.wikipedia.org/wiki/6to4