El nuevo DNS de Cloudflare 1.1.1.1 atrae "gigabits por segundo" de basura
Los nuevos servidores del sistema de nombres de dominio (DNS) que mejoran la privacidad y la velocidad de Cloudflare, lanzados el domingo, también son parte de un experimento que se lleva a cabo en asociación con el Centro de información de la red de Asia Pacífico (APNIC).
El experimento pretende comprender cómo se puede mejorar el DNS en términos de rendimiento, seguridad y privacidad.
"Ahora confiamos críticamente en la integridad del DNS, sin embargo, los detalles de la forma en que opera aún siguen siendo en gran medida opacos", escribió el jefe científico de APNIC, Geoff Huston, en una publicación en su blog.
"Somos conscientes de que el DNS se ha utilizado para generar ataques maliciosos de denegación de servicio, y estamos ansiosos por comprender si se pueden tomar medidas simples y ampliamente implementables para mitigar tales ataques. El DNS depende del almacenamiento en caché para operar de manera eficiente y rápidamente, pero aún no estamos seguros de qué tan bien funciona el almacenamiento en caché. Tampoco estamos claros qué tanto del DNS está relacionado con los requisitos del usuario final o de la aplicación para la resolución de nombres, y cuánto está relacionado con el chattering de DNS consigo mismo".
Huston, un miembro del Salón de la fama de Internet, tiene un interés de larga data en el DNS, y es un firme defensor de una propuesta que promete mejorar la resistencia de los DNS contra los ataques DDoS (denegación de servicio distribuida). Anteriormente se dijo que no proteger los DNS contra ataques DDoS es una ignorancia salvaje.
El experimento Cloudflare-APNIC utiliza dos rangos de direcciones IPv4, 1.1.1.0/24 y 1.0.0.0/24, que se han reservado para uso de investigación. El nuevo DNS de Cloudflare usa dos direcciones dentro de esos rangos, 1.1.1.1 y 1.0.0.1.
Estos rangos de direcciones se configuraron originalmente como "direcciones de tráfico oscuro", y hace algunos años APNIC se asoció con Google para analizar el tráfico no solicitado dirigido a ellos. Había mucho de eso.
"Nuestro trabajo inicial con él ciertamente mostró que era un atractor inusualmente fuerte para el tráfico malo. En el momento en que dejamos de hacerlo con Google, era más de 50 gigabits por segundo. Francamente, pocas personas pueden manejar tanto ruido", dijo Huston.
Al colocar el DNS de Cloudflare en estas direcciones de investigación, APNIC puede ver el ruido y el tráfico del DNS, o al menos "una cierta cantidad factorizada" del mismo, con fines de investigación.
Huston enfatizó que APNIC tiene la intención de proteger la privacidad de los usuarios. "El DNS es notablemente informativo sobre lo que hacen los usuarios, si lo inspeccionas de cerca, y ninguno de nosotros está interesado en hacerlo", dijo.
De hecho, el objetivo de Cloudflare es crear, como dijo el director ejecutivo de la empresa, Matthew Prince, "el servicio de DNS para el consumidor más rápido y más privado de Internet".
Si bien 1.1.1.1 está destinado a ser utilizado solo para investigación, el experimento Cloudflare-APNIC ha revelado que muchos sistemas operativos lo han estado utilizando en una variedad de hacks que infringen los estándares de enrutamiento de Internet.
La celebridad de seguridad cibernética de Twitter, @SwiftOnSecurity, ha estado retwitteando algunas de las acusaciones más atroces, como la utilizada por Fortinet VPN como el punto final virtual; 1.1.1.1; 1.1.1.1 se utiliza como el cierre de sesión predeterminado para los controladores Nomadix, que se utilizan principalmente en entornos de la industria hotelera; AT & T Gigapower utilizando 1.1.1.1 en una interfaz interna en al menos un modelo de enrutador-gateway, el Pace 5268AC, que efectivamente bloquea esta dirección; e incluso Vodafone Germany lo usa como un servidor de caché de imágenes en su red móvil.
Huston está familiarizado con usos como este, y también ha visto puntos de acceso Wi-Fi utilizando 1.1.1.1 como su dirección de enrutador. Él no está impresionado.
"Algunas personas, sin ningún material para justificarlo, comenzaron a configurar 1.1.1.1. Ahora, puedo empezar a usar su dirección IP, supongo, pero ambos tendremos un problema", dijo Huston, riendo.
"Nunca debiste haberlo hecho. Estás en cuclillas en la dirección de otra persona. Eso es algo malo", dijo.
"En este caso, no estoy seguro de que realmente tenga un impacto sobre la gente que está anunciando la dirección, y hasta cierto punto porque estoy viendo el tráfico basura que llega a esa dirección, todo se suma a la basura interesante. No debería estar haciéndolo".
Si bien Huston todavía no ha analizado el tráfico basura en este nuevo experimento, dijo que aún se puede medir en múltiples gigabits por segundo.