DNS-амплификация
Что такое DNS-амплификация?
DNS-амплификацияReflection-DDoS, использующий открытые DNS-резолверы: маленькие запросы с подделанным IP жертвы заставляют резолверы отправлять большие DNS-ответы жертве.
При DNS-амплификации злоумышленник отправляет UDP-запросы DNS (обычно ANY, TXT или DNSSEC-записи, дающие большие ответы) к множеству открытых или плохо настроенных рекурсивных резолверов, подменяя источник IP-адресом жертвы. Резолверы отправляют жертве намного более крупные DNS-ответы, увеличивая полосу атакующего, нередко в 50 и более раз. Совокупный трафик легко переполняет канал жертвы или её провайдера. Меры противодействия: закрытие открытых резолверов, Response Rate Limiting (RRL), валидация источника на границах сети (BCP 38), anycast DNS и DDoS-scrubbing, а также избегание неоправданно больших EDNS/DNSSEC-ответов.
● Примеры
- 01
Злоумышленник отправляет ANY-запросы тысячам открытых резолверов, и каждый крошечный запрос рождает ответы в несколько килобайт жертве.
- 02
Ботнеты на базе Mirai используют домашние маршрутизаторы, работающие как открытые рекурсоры, для DNS-амплификации сотен Гбит/с.
● Частые вопросы
Что такое DNS-амплификация?
Reflection-DDoS, использующий открытые DNS-резолверы: маленькие запросы с подделанным IP жертвы заставляют резолверы отправлять большие DNS-ответы жертве. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает DNS-амплификация?
Reflection-DDoS, использующий открытые DNS-резолверы: маленькие запросы с подделанным IP жертвы заставляют резолверы отправлять большие DNS-ответы жертве.
Как защититься от DNS-амплификация?
Защита от DNS-амплификация обычно сочетает технические меры и операционные практики, как описано в определении выше.