Más del 70% de las consultas raíz DNS son basura

Imagine que siete de cada diez correos electrónicos de su bandeja de entrada fueran spam. Ahora imagine que eso ocurre cada segundo, en todos los rincones de Internet, no sólo en su bandeja de entrada, sino en la columna vertebral del funcionamiento de Internet. Esa es la realidad a la que se enfrentan los servidores raíz del Sistema de Nombres de Dominio (DNS) de Internet, que reciben una abrumadora mayoría del tráfico "basura".

Investigaciones recientes muestran que más del 72% de las consultas a los servidores DNS raíz son no deseadas, la mayoría de ellas preguntando por dominios que ni siquiera existen. Aunque este tráfico pueda parecer un ruido inofensivo, en realidad supone un serio desafío para la estabilidad, la seguridad y el rendimiento de Internet.

Esta entrada de blog analiza qué es este tráfico basura, por qué es importante y qué se puede hacer para reducir su impacto.

Nuestro análisis del tráfico al servidor b.root reveló que más del 72% de todas las consultas entrantes eran no deseadas. Destacaban dos grandes culpables:

1. Consultas repetitivasSe trata de solicitudes frecuentes de los mismos TLD en intervalos cortos, normalmente causadas por sistemas mal configurados o mecanismos de reintento demasiado agresivos.
2. Consultas de TLD inexistentes (NXDOMAIN)Éstas dominan el tráfico no deseado. A menudo proceden de
   • Malware que genera nombres de dominio aleatorios.
   • Errores tipográficos y software mal configurado.
   • Dispositivos IoT heredados con configuraciones DNS obsoletas.
   • Exploración o reconocimiento maliciosos.

Como estos TLD no existen, los servidores raíz no pueden resolverlos. Aún así, deben procesarlos y responder, malgastando una valiosa potencia de cálculo y ancho de banda.

Si la mayor parte de este tráfico basura no afecta a la carga de su sitio web favorito, ¿por qué importa? La respuesta está en la resistencia y el rendimiento de Internet.

1. Degradación del rendimientoLas consultas basura consumen recursos, lo que puede añadir retrasos durante los picos de carga o los ataques. Incluso pequeñas cantidades de latencia añadida se propagan entre millones de usuarios.
2. Menor capacidad de recuperaciónLos servidores raíz tienen una capacidad finita. Cuanto más ancho de banda y procesamiento se desperdicien en basura, menos margen quedará para las consultas legítimas, especialmente en momentos de estrés, como ciberataques o picos de tráfico.
3. Mayores costes y uso de energíaMiles de millones de consultas inútiles significan miles de millones de ciclos de CPU desperdiciados. Esto se traduce en mayores costes operativos y un mayor uso de electricidad, lo que plantea problemas de sostenibilidad.
4. Riesgos para la seguridadEl tráfico no deseado puede enmascarar o presagiar ciberamenazas. Los picos repentinos en ciertos patrones, por ejemplo, pueden indicar nuevas campañas de malware o actividad de botnets.

Señalar cada fuente es difícil, pero los datos apuntan a varios infractores recurrentes:

• Grandes proveedores de servicios de Internet con routers o dispositivos de clientes mal configurados.
• Dispositivos heredados del Internet de las Cosas que aún ejecutan firmware obsoleto.
• Redes de bots que generan enormes cantidades de solicitudes de dominios falsos.

Cuando se relacionan con los datos a nivel de red (Sistemas Autónomos, o ASN), algunos proveedores destacan como responsables de volúmenes desproporcionadamente grandes de tráfico NXDOMAIN. Eso crea oportunidades para la divulgación selectiva y la remediación.

Irónicamente, aunque el tráfico no deseado es una carga, también proporciona información valiosa. Al estudiar los patrones de las consultas basura, los investigadores pueden detectar nuevas amenazas, identificar sistemas mal configurados en la naturaleza y orientar las mejoras de los protocolos DNS.

De este modo, el tráfico basura no es sólo ruido. También es una herramienta de diagnóstico de la salud de Internet. Pero para que eso funcione, necesitamos una supervisión continua, colaboración y medidas proactivas para reducir la carga de los servidores raíz.

Los servidores raíz no son el único sistema necesario para limpiar el DNS. Se necesita un esfuerzo coordinado y a varios niveles en el que participen los resolutores, los operadores raíz, los desarrolladores de software y los organismos de normalización.

He aquí algunos pasos concretos:

• Valide los TLD localmente: Utilice listas actualizadas de TLD válidos para que los resolutores puedan bloquear las consultas no válidas antes de que lleguen a la raíz.
• Implemente zonas de política de respuesta (RPZ): Defina respuestas personalizadas para consultas claramente inválidas, como devolver 0.0.0.0.
• Almacene en caché y limite la velocidad de las respuestas NXDOMAIN: Esto evita inundaciones repetitivas de las mismas peticiones no válidas.

• Detecte y mitigue los patrones abusivos: Los grandes volúmenes de consultas procedentes de una única subred pueden marcarse y limitarse su velocidad.
• Mejore el almacenamiento en caché y el filtrado: Un software más inteligente puede reducir los gastos generales y mejorar la eficacia.

• Mejorar los protocolos DNS: La información sobre el tráfico no deseado puede orientar nuevas normas en el IETF para que el DNS sea más resistente.
• Amplíe los despliegues anycast: Más instancias de servidor raíz en regiones desatendidas ayudan a repartir la carga y reducen el riesgo de sobrecarga localizada.

El hecho de que más del 70% de las consultas raíz DNS sean basura es asombroso e insostenible. Si no se controla, erosiona el rendimiento, la resistencia y la confianza en uno de los sistemas más críticos de Internet.

La buena noticia es que existen soluciones. Validando las consultas a nivel local, filtrando las peticiones no válidas, mejorando las operaciones del servidor raíz e impulsando normas más inteligentes, podemos hacer que el ecosistema DNS sea más eficiente y seguro. Mi beca de investigación Pulse pretende abordar este problema proponiendo un nuevo sistema/enfoque para los resolutores DNS. Esta solución (que se detallará en una futura entrada del blog) atajaría la mayoría de las consultas no deseadas en su origen, antes incluso de que entren en el gran ecosistema DNS.

La próxima vez que su navegador cargue un sitio web en milisegundos, recuerde que una vasta infraestructura invisible lo hizo posible, y gran parte de esa infraestructura está actualmente empantanada con basura digital. Es hora de limpiarla para conseguir una Internet más rápida, segura y resistente.

Dipsy Desai es estudiante de doctorado en la Universidad del Sur de California y becaria de investigación de 2025 Pulse.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.

Foto de Claudio Schwarz en Unsplash