Non sono sicuro che il termine "avvelenamento da cache" significhi cosa tu pensi che significhi; non è una forma di DoS ma piuttosto una violazione della sicurezza.
Riguardo agli attacchi UDP e DoS, poiché il campo IP sorgente per i pacchetti UDP non è sempre filtrato dagli ISP, a volte è possibile inviare pacchetti fraudolentemente per conto di altri server. Ciò rende possibili tutti i tipi di attacchi DoS amplificati e riflessi , argomento di cui credo sia la tua domanda.
Uno degli attacchi DoS più pericolosi al giorno d'oggi è il classico attacco di amplificazione DNS, dove molto simile a un classico flood di SYN, i pacchetti sono falsificati su un computer con il campo sorgente IP mal intenzionalmente manomesso. In questo attacco, l'origine del pacchetto è segnalato come destinazione finale, in modo che la risposta dal server, di solito creata per essere molte volte più grande della richiesta inviata dall'attaccante, venga inviata al bersaglio. Questo fa sì che i nameserver moltiplichino la dimensione del flusso, quindi la larghezza di banda consumata e rende anche la fonte di attacco incredibilmente difficile da rintracciare.
Ovviamente questo può essere esteso a un attacco DRDoS (distributed denial of service), in cui più connessioni malevoli stanno forgiando richieste a più server dei nomi per conto del target dell'attacco, al fine di moltiplicare la larghezza di banda dei nameserver e mirare al bersaglio finale.
Per essere chiari, UDP non è richiesto per avvelenare una cache DNS, sebbene l'inaffidabilità dei pacchetti introduca sicuramente molti attacchi, in particolare quando le estensioni DNSSEC non sono installate!
È del tutto possibile che un dipendente malintenzionato presso un ISP (o chiunque abbia accesso amministrativo a un server dei nomi in questione) possa corrompere un pezzo di memoria utilizzando una vulnerabilità locale, ad esempio, e ciò costituirebbe una cache DNS attacco di avvelenamento che non si basa affatto su UDP.
Anche quando TCP è usato al posto di UDP, è del tutto possibile che ci possa essere un errore da qualche parte in un chip di RAM tra sorgente e destinazione che causa un po 'di ribaltamento. Un po 'passare da stac k
overflow.com a stac i
overflow.com sul lato client causerebbe l'inoltro della richiesta a un server dei nomi potenzialmente dannoso, per esempio, che potrebbe rispondere come se fosse proprietario di quel dominio. Si chiama bitsquatting e non si basa in modo specifico su UDP; Dopotutto, il DNS supporta (almeno in parte) il protocollo TCP.
Inoltre, su ogni pacchetto c'è un campo TTL (time-to-live), che ogni router aggiorna quando il pacchetto viene inviato dal router al router verso la destinazione. Il motivo è che la sorgente può essere notificata se non esiste una rotta, ad esempio. Sfortunatamente, questo significa che il checksum deve essere aggiornato ad ogni hop, il che significa che gli errori in memoria ad ogni hop potrebbero non essere identificati dal meccanismo di checksum UDP. Grande cipiglio: : (
Mentre possiamo vedere gli attacchi di avvelenamento della cache DNS sono sicuramente una preoccupazione importante, penso che ora dovresti essere in grado di vedere come non sono realmente rilevanti per la maggior parte della tua domanda.