O que é Ataque de amplificação de DNS? Significado, definição e exemplos

Num ataque de amplificação DNS, o adversário envia consultas UDP DNS (frequentemente ANY, TXT ou DNSSEC, que geram respostas grandes) para muitos resolvers recursivos abertos ou mal configurados, com o IP de origem forjado como o da vítima. Os resolvers enviam à vítima respostas DNS muito maiores, multiplicando a largura de banda do atacante por fatores que muitas vezes ultrapassam 50×. O tráfego agregado pode saturar o link da vítima ou o do seu fornecedor. As mitigações incluem fechar ou restringir resolvers abertos, aplicar Response Rate Limiting (RRL), garantir validação de endereço de origem nas fronteiras de rede (BCP 38), usar DNS anycast e serviços de scrubbing, e evitar respostas EDNS/DNSSEC excessivamente grandes sempre que possível.

● Exemplos

O atacante envia consultas ANY a milhares de resolvers abertos; cada consulta minúscula gera respostas de vários kilobytes para a vítima.

Botnets derivadas do Mirai abusam de equipamentos CPE residenciais a funcionar como recursores abertos para lançar inundações DNS de centenas de gigabits.

● Perguntas frequentes

O que é Ataque de amplificação de DNS?

Ataque DDoS por reflexão que abusa de resolvers DNS abertos enviando consultas pequenas com o IP da vítima falsificado, fazendo com que enviem grandes respostas DNS à vítima. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Ataque de amplificação de DNS?

Ataque DDoS por reflexão que abusa de resolvers DNS abertos enviando consultas pequenas com o IP da vítima falsificado, fazendo com que enviem grandes respostas DNS à vítima.

Como se defender contra Ataque de amplificação de DNS?

As defesas contra Ataque de amplificação de DNS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Ataque de amplificação de DNS