È stata pubblicata la notizia di un nuovo attacco ai root nameserver, significativo seppure breve. Questo tipo di attacchi unisce due problemi attualmente di difficile soluzione, e cioè gli attacchi di DoS distribuiti (DDoS) e l’accesso centralizzato al dns. Il secondo sembra una bestialità: tutti sanno che il dns è distribuito. In realtà, è distribuita la gestione; ma se dalla mia rete aziendale voglio accedere un dominio .org, devo necessariamente passare dai root nameserver, salvo poi fare caching. Allo stesso modo, se voglio accedere a un dominio .it, dovrò partire necessariamente da uno fra sei o sette indirizzi (a ognuno dei quali in realtà corrispondono certamente più sistemi, magari con architetture diverse). Questo vuole dire in pratica che se non si riesce ad accedere a questi root nameserver, si riesce ad accedere solo alla propria rete locale e, per un po’, ai sistemi che si sono contattati da poco, perché sono in cache. Molti non si accorgono del funzionamento perché le loro richieste le passano al proprio provider, il quale però segue esattamente questo meccanismo; per inciso, il fatto che tutte le richieste dei clienti passino dai server del provider è stato messo in discussione a dicembre quando c’è stato un problema tutto italiano di DDoS al dns e di connettività.
Quindi in pratica, in una Internet resiliente, distribuita, ridondata ecc. ecc. abbiamo un punto di centralizzazione, un bel single point of failure. Intendiamoci, in realtà i root nameserver sono più di uno, nessuno di essi è un s.p.f. Tuttavia, il traffico fra due zone di Internet ha bisogno che questi server funzionino, anche se sono altrove. È chiaro che sono un ottimo bersaglio per i DoS, ed è anche chiaro che si cerca di dimensionarli di conseguenza… basterà?
E arriviamo qui ai DDoS. I grossi attacchi del 2000 non si sono più ripetuti, ma ormai i DDoS sono parte della quotidianità, più piccoli ma più diffusi, grazie alle grosse botnet di cui si è più volte parlato. Già l’anno scorso, se non sbaglio, i root nameserver avevano subito un attacco significativo. Certamente chi gestisce i root nameserver starà lavorando sul dimensionamento e il controllo del traffico per evitare disservizi, ma e anche vero che un DDoS può generare ormai una quantità di traffico enorme… Nel 2000, dopo gli attacchi, si è discusso molto su come era possibile prevenire o contrastare quegli attacchi. Da allora però mi sembra che di concreto si sia fatto abbastanza poco.
E ora poniamoci un altro problema. Supponiamo che ad essere attaccati non siano i root nameserver, ma in nameserver di un dominio geografico. Naturalmente anche questi hanno le loro protezioni. Ad esempio, il dominio it ha i propri nameserver primari distribuiti in mezzo mondo. È anche vero però che difficilmente questi sistemi avranno la stessa capacità di resistere a un DDoS che possono avere i root nameserver. Cosa succederebbe allora se un attacco come quello di tre giorni fa fosse portato, che so, ai nameserver primari della Francia, o della Germania, o naturalmente anche dell’Italia? Già ora, Internet è diventata una risorsa importante: per dirne una, molta dell’interazione con il Fisco passa ormai solo via Internet. Le conseguenze di un DDoS di grandi dimensioni portato per alcuni giorni a queste infrastrutture avrebbe conseguenze notevoli, seppure non terribili. Ma nel futuro la cosa non può che peggiorare.
Soluzioni? Non è questo il contesto giusto per fare proposte, ma certamente sarebbe confortante sentire, o meglio vedere, che qualche iniziativa viene presa, non solo per mitigare gli eventuali DDoS ai root nameserver, ma per affrontare il problema in modo un po’ più organico. A prescindere dal dns, è chiaro infatti che ora come ora una piccola o media azienda non ha nessuna reale difesa nei confronti di un DDoS; al più, se si appoggia ad un provider serio (e costoso) può sperare che il provider stesso sia in grado di attivare dei palliativi, ma non è certo la situazione in cui si trova la maggior parte delle aziende.
