¿Inundación de DNS usando la amplificación de DNS?

5

Por lo tanto, una Inundación de DNS es cuando DDOS es un Servidor de DNS, y una Amplificación de DNS es cuando se usa el Servidor de DNS para ejecutar un ataque de DOS (creo).

Basado en eventos recientes (el ataque al servicio DNS de Dyn) Me preguntaba:

¿Podría usarse una amplificación de DNS para DOS un servidor DNS? [Servidor DNS A] ataca [Servidor DNS B] que ataca [Servidor DNS C] y así sucesivamente ...

¿No funcionaría debido a los diferentes protocolos? (TCP y UDP)

(Lo siento si estoy publicando en el foro equivocado o si me falta algo realmente simple)

    
pregunta Ricardo Ribeiro 25.10.2016 - 23:52
fuente

1 respuesta

2
  

Por lo tanto, una Inundación de DNS es cuando DDOS es un Servidor de DNS, y una Amplificación de DNS es cuando se usa el Servidor de DNS para ejecutar un ataque de DOS (creo).

Inundación de DNS : enviar una gran cantidad de preguntas (muchas veces significa mucho; puede haber millones o incluso más) de consultas (principalmente consultas aleatorias) al servidor DNS con la intención de reducir los servicios es una Inundación de DNS.
Como las consultas de DNS son principalmente de naturaleza UDP (excepto DNSSEC o Zone Transfer o algunas otras) y la suplantación de paquetes UDP no es una ciencia de cohetes; Así que podemos considerar que DNS Flood puede lograrse fácilmente.
Hay varios métodos disponibles para que el administrador de DNS proteja los recursos contra ataques de inundación como: Limitación de velocidad, ejecutando servidores en modo anycast y muchos otros.

Amplificación de DNS : en este caso, el atacante utiliza para inundar la máquina / ancho de banda de la víctima a través de las respuestas de DNS, que son respondidas por OpenResolvers.
En pocas palabras, el atacante utiliza para enviar las consultas aleatorias a los millones de OpenResolver, con el IP de origen de la víctima (ya que el paquete es udp, por lo tanto, falsificar una dirección IP no es un desafío). OpenResolver a su vez responde y se envía la respuesta a la víctima.

  

¿Podría usarse una amplificación de DNS para DOS un servidor DNS? [Servidor DNS A] ataca [Servidor DNS B] que ataca [Servidor DNS C] y así sucesivamente ...

  ¿No funcionaría debido a los diferentes protocolos? (TCP y UDP)

Como se explicó anteriormente, en un ataque de amplificación de DNS,

  • Atacante [que tiene la dirección IP 1.1.1.1], se usa para enviar consultas de DNS [que tiene la dirección IP 2.2.2.2]
  • En el paquete DNS, la dirección IP de Src es la dirección de la víctima [digamos 3.3.3.3]
  • El servidor DNS al recibir la consulta [teniendo ip 2.2.2.2] responderá a la víctima [3.3.3.3]
  • Aunque la víctima [3.3.3.3] no solicitó ningún registro de DNS de [2.2.2.2] pero está recibiendo los paquetes

Ahora, supongamos un caso en el que millones de OpenResolvers envían respuestas de DNS a la víctima. Este ataque tendrá el potencial de ahogar el ancho de banda de la víctima junto con la capacidad de memoria y procesamiento.

Lograr un tipo de ataque de cadena a través de DNS La amplificación es difícil de lograr y la longitud de la cadena puede ser de 2 a 3 nodos solamente Y esto tampoco será capaz de generar demasiada amplificación para reducir el servicio.

    
respondido por el Gaurav Kansal 26.10.2016 - 10:39
fuente

Lea otras preguntas en las etiquetas