Completa divulgazione, lavoro per un'azienda che sviluppa servizi di attenuazione DDoS e firewall per applicazioni Web
L'amplificazione DNS è un attacco DDoS (Distributed Denial of Service) in cui l'attaccante sfrutta le vulnerabilità nei server DNS (Domain Name System) per trasformare inizialmente le piccole query in carichi molto più grandi, utilizzati per far cadere i server della vittima. / p>
L'amplificazione DNS è un tipo di attacco di riflessione che manipola i sistemi di nomi di dominio accessibili pubblicamente, facendo inondare una destinazione con grandi quantità di pacchetti UDP. Utilizzando varie tecniche di amplificazione, i perpetratori possono "gonfiare" le dimensioni di questi pacchetti UDP, rendendo l'attacco così potente da far cadere anche l'infrastruttura Internet più robusta.
L'amplificazione DNS, come altri attacchi di amplificazione, è un tipo di attacco di riflessione. In questo caso, la riflessione viene ottenuta provocando una risposta da un resolver DNS a un indirizzo IP falsificato.
Durante un attacco di amplificazione DNS, il perpetratore invia una query DNS con un indirizzo IP falsificato (quello della vittima) a un resolver DNS aperto, chiedendogli di rispondere a quell'indirizzo con una risposta DNS. Con numerose query false inviate e con diversi risolutori DNS che rispondono simultaneamente, la rete della vittima può essere facilmente sopraffatta dal numero di risposte DNS.
Per amplificare un attacco DNS, ogni richiesta DNS può essere inviata utilizzando l'estensione del protocollo DNS EDNS0, che consente di inviare messaggi DNS di grandi dimensioni o utilizzando la funzionalità crittografica dell'estensione di sicurezza DNS (DNSSEC) per aumentare la dimensione del messaggio. È anche possibile utilizzare query con spoofing del tipo "ANY," che restituisce tutte le informazioni note su una zona DNS in una singola richiesta.
Attraverso questi e altri metodi, è possibile configurare un messaggio di richiesta DNS di circa 60 byte per ottenere un messaggio di risposta di oltre 4000 byte sul server di destinazione, ottenendo un fattore di amplificazione 70: 1. Questo aumenta notevolmente il volume di traffico ricevuto dal server di destinazione e accelera la velocità con cui verranno esaurite le risorse del server.
Inoltre, gli attacchi di amplificazione DNS generalmente inoltrano le richieste DNS attraverso uno o più botnet - aumentare drasticamente il volume di traffico diretto verso il server oi server di destinazione e rendere molto più difficile il tracciamento dell'identità dell'attaccante.
La mia azienda offre varie soluzioni per proteggersi dagli attacchi DNS. Leggi ulteriori informazioni su come puoi mitigare questo tipo di attacchi: link