DNS Flood usando l'amplificazione DNS?

5

Quindi, un DNS Flood è quando DDOS è un server DNS e un'amplificazione DNS è quando si utilizza il server DNS per eseguire un attacco DOS (credo).

Sulla base di eventi recenti (l'attacco al servizio DNS di Dyn) mi chiedevo:

È possibile utilizzare un'amplificazione DNS per DOS un server DNS? [Server DNS A] attacca [Server DNS B] che attacca [Server DNS C] e così via ...

Non funzionerebbe a causa dei diversi protocolli? (TCP e UDP)

(Scusa se sto postando sul forum sbagliato o se mi manca qualcosa di veramente semplice)

    
posta Ricardo Ribeiro 25.10.2016 - 23:52
fonte

1 risposta

2

So, a DNS Flood is when you DDOS a DNS Server, and a DNS Amplification is when you use the DNS Server to execute a DOS attack (I think).

DNS Flood - L'invio di un lotto (lotto significa molto lotto, può essere milioni o anche più) di query (principalmente query casuali) al server DNS con l'intenzione di abbattere i servizi è un DNS Flood.
Poiché le query DNS sono principalmente di natura UDP (eccetto DNSSEC o Zone Transfer o poche altre) e lo spoofing dei pacchetti UDP non è una scienza missilistica; quindi possiamo considerare che DNS Flood può essere raggiunto facilmente.
Esistono diversi metodi disponibili per l'amministratore DNS per proteggere le risorse dall'attacco di inondazioni come-Rate Limiting, server in esecuzione in anycast mode e molti altri.

Amplificazione del DNS : in questo caso, l'utente malintenzionato usa la macchina / larghezza di banda della vittima attraverso le risposte DNS, che vengono risposte da OpenResolvers.
In poche parole, l'aggressore usa per inviare le query casuali ai milioni di OpenResolver, con l'IP di origine della vittima (dato che il pacchetto è udp, quindi lo spoofing di un indirizzo IP non è una sfida). OpenResolver a sua volta risponde e la risposta viene inviata alla vittima.

Could a DNS Amplification be used to DOS a DNS Server? [DNS Server A] attacks [DNS Server B] which attacks [DNS Server C] and so on...

Would it not work because of the different protocols? (TCP and UDP)

Come spiegato sopra, in un attacco di amplificazione DNS,

  • Attacker [avente indirizzo IP 1.1.1.1], usa per inviare query DNS [avente indirizzo IP 2.2.2.2]
  • Nel pacchetto DNS, l'indirizzo IP di Src è di indirizzo della vittima [diciamo 3.3.3.3]
  • Server DNS alla ricezione della query [avendo ip 2.2.2.2] risponderà alla vittima [3.3.3.3]
  • Sebbene la vittima [3.3.3.3] non abbia richiesto alcun record dns da [2.2.2.2] ma sta ottenendo i pacchetti

Ora, supponiamo che un caso in cui milioni di OpenResolvers stiano inviando risposte DNS alla vittima. Questo attacco potrebbe potenzialmente soffocare la larghezza di banda della vittima e soffocare la memoria e le capacità di elaborazione.

Raggiungere un tipo di attacco di catena attraverso l'amplificazione DNS è difficile da ottenere e la lunghezza della catena può essere solo di 2 o 3 nodi E anche questo non sarà in grado di generare molta amplificazione per ridurre il servizio

    
risposta data 26.10.2016 - 10:39
fonte

Leggi altre domande sui tag