DNS Amplification — это распределенная атака типа «отказ в обслуживании» (DDoS), при которой злоумышленник использует уязвимости в серверах DNS (системы доменных имен), чтобы превратить небольшие начальные запросы в гораздо более крупные полезные данные. используется для «снятия» сервера жертвы.
DNS Amplification — это своего рода зеркальная атака, которая манипулирует общедоступными DNS, делая их целью для большого количества пакетов UDP. Используя различные методы, злоумышленник может «раздувать» размер этих UDP-пакетов, делая атаку настолько мощной, что она разрушает даже самую мощную интернет-инфраструктуру.
DNS Amplification, как и другие атаки с усилением, является своего рода атакой с отражением. В этом случае зеркальное отображение достигается путем получения ответа от преобразователя DNS на поддельный IP-адрес.
В атаке DNS Amplification преступник отправляет DNS-запрос с поддельным IP-адресом (жертвы) на открытый DNS-преобразователь, заставляя его отвечать на этот адрес DNS-ответом. При отправке большого количества поддельных запросов и одновременном ответе нескольких распознавателей DNS сеть жертвы может быть легко перегружена неконтролируемым количеством ответов DNS.
Контратаки еще опаснее, если их усилить. «Усиление» здесь относится к тому факту, что ответ сервера не совпадает с первоначально отправленным пакетным запросом.
Чтобы усилить такую DNS-атаку, каждый DNS-запрос может быть отправлен с использованием расширения протокола DNS EDNS0, что позволяет использовать большие DNS-сообщения, или с использованием шифрования DNSSEC (расширение безопасности DNS) для увеличения размера. сообщение. Также можно использовать ложные запросы типа ANY (любой), которые возвращают всю известную информацию о зоне DNS в одном запросе.
С помощью этих и других методов сообщение запроса DNS размером около 60 байт может быть настроено для отправки ответных сообщений размером более 4000 байт на сервер назначения, что дает прирост 70.: first. Это значительно увеличивает объем трафика, который получает целевой сервер, и ускоряет исчерпание ресурсов сервера.
Кроме того, атаки DNS Amplification часто пересылают DNS-запросы через одну или несколько ботнетов, что значительно увеличивает прямой трафик на целевой сервер (-ы) и вызывает анонимное отслеживание. Характер злоумышленника намного сложнее.
Распространенные способы предотвращения или смягчения последствий атак с усилением DNS включают ужесточение DNS-серверов, блокировку определенных DNS-серверов или всех рекурсивных серверов ретрансляции и ограничение скорости.
Однако эти методы не устраняют источники атак, не уменьшают нагрузку на сеть и не переключаются между сервером имен и открытым рекурсивным сервером. Кроме того, блокирование всего трафика от открытых рекурсивных серверов может помешать законным попыткам связи DNS. Например, некоторые организации поддерживают открытые рекурсивные серверы, чтобы сотрудники, работающие на мобильных устройствах, могли разрешать запросы с «доверенных» серверов имен. Блокирование трафика с этих серверов может помешать их доступу.