Che cos'è Open Resolver Project e in che modo fornisce una soluzione per l'attacco di riflessione DNS?
Ho letto anche che Open Resolver Project segue BCP38. Cos'è BCP38?
I progetti Open Resolver tentano di trovare server DNS ricorsivi che non dispongono di elenchi di accesso per limitare i client che possono utilizzare il server dei nomi. I server di nomi come questi possono essere utilizzati per gli attacchi di amplificazione DNS perché possono essere fuorvianti utilizzando indirizzi IP falsificati per le query DNS. L'attaccante contraffa la fonte della query all'indirizzo della vittima. La risposta (che può essere piuttosto ampia, specialmente quando è coinvolto DNSSEC) verrà inviata all'indirizzo contraffatto. Quando un gran numero di queste richieste contraffatti sono fatto contemporaneamente da molte reti, la quantità di traffico causati da risposte sarà grande, forse abbastanza grande da causare un attacco Distributed Denial of Service (DDoS).
BCP38 è una best practice in ingegneria di rete che può essere utilizzata per interrompere le richieste di spoofing all'interno della rete dell'utente malintenzionato. In pratica dice che nessun traffico dovrebbe lasciare una rete proveniente da indirizzi IP che non sono assegnati a quella rete. Questo può essere fatto usando tecniche come access list o reverse path filtering (RPF).
Gli Open Resolver sono solo uno (molto efficace) metodo per sfruttare reti che non implementano BCP38 per l'esecuzione di DDoS. Anche altri servizi sono usati, ad esempio NTP sembra essere piuttosto popolare nelle ultime settimane. Consentire alle query sui resolver solo da indirizzi di fonti attendibili (chiudere i resolves per così dire) è una buona cosa, ma è solo fermare un tipo di attacchi. Implementare BCP38 su una rete è una soluzione molto più efficace, poiché blocca molti altri tipi di attacchi.
Leggi altre domande sui tag dns ddos dns-spoofing