DNS flood vs DNS Amplification attack: come si considera un attacco di livello rete / trasporto e l'altro un attacco a livello di applicazione?

2

Sto leggendo un sondaggio sugli attacchi DDoS e descrivono come questi attacchi possono essere classificati da attacchi a livello di rete / trasporto e attacchi a livello di applicazione. Nei loro esempi, classificano l'inondazione DNS come rete / trasporto e l'amplificazione DNS come livello di applicazione. Non sto capendo completamente la differenza e, a mio avviso, mi sto chiedendo perché l'amplificazione DNS non sia un attacco di livello rete / trasporto.

Da quanto ho capito, in DNS flooding, hai distribuito i bot inondando le query UDP essenzialmente, travolgendo la larghezza di banda in modo tale che gli utenti legittimi non possono inviare le loro richieste. Nell'amplificazione DNS, si sta spoofing l'IP della vittima in una richiesta DNS in modo tale che quando arriva la risposta, è più volte di dimensioni che risalgono alla vittima. Da quello che ho capito, questo non è esattamente il targeting per qualsiasi applicazione (come floods HTTP) e piuttosto entrambi gli esempi stanno compromettendo le risorse network piuttosto che le risorse di sistema di una vittima. In che modo esattamente l'amplificazione DNS considera un attacco a livello di applicazione?

Link al sondaggio: link

    
posta dapirateking 07.04.2018 - 10:40
fonte

1 risposta

1

Sì, l'hai capito correttamente (tranne alcuni dettagli, vedi sotto) e gli autori di il sondaggio a cui ti sei collegato è sbagliato. O almeno, se hanno davvero avuto qualche idea brillante dietro quel paragrafo, non sono riusciti a presentarlo correttamente.

es. esiste sicuramente un approccio per classificare gli attacchi DDoS in base al livello di protocollo vulnerabile. In questo modo, UDP flood è un attacco del livello di trasporto e l'amplificazione DNS è il livello dell'applicazione, anche se dal punto di vista della vittima in entrambi i casi è il livello rete che viene congestionato. L'applicabilità al mondo reale di un tale approccio è discutibile nel migliore dei casi, ma gli autori del sondaggio non si riferiscono a questo, sono più pratici (il che mi fa dire che hanno commesso un errore).

Un possibile motivo è che il paragrafo che discute l'amplificazione DNS si riferisce ad alcuni articoli risalenti al 2004. Da quel momento, sono successi molti eventi relativi a DDoS, quindi probabilmente è meglio trovare qualcosa di più fino a oggi da leggere.

I miei due centesimi però:

  • È più corretto chiamare "livelli", non "livelli";

  • Un utente malintenzionato in realtà non ha bisogno di bot per eseguire il flooding DNS basato su UDP. Un paio di server collegati a una rete con una buona larghezza di banda e nessun RPF faranno lo stesso trucco spoofando la sorgente IP di i pacchetti;

  • Tuttavia, una botnet sarebbe utile se la vittima è in grado di eseguire alcune sfide basate su DNS o semplicemente di troncare rapidamente la risposta, forzando il client per riprovare la richiesta DNS tramite TCP (sì, il DNS può funzionare tramite TCP).

risposta data 09.04.2018 - 15:28
fonte

Leggi altre domande sui tag