¿Qué es el Proyecto de resolución abierta y cómo proporciona una solución para el ataque de reflexión de DNS?
También leí que Open Resolver Project sigue a BCP38. ¿Qué es BCP38?
Los proyectos de resolución abierta intentan encontrar servidores DNS recursivos que no tienen listas de acceso para restringir qué clientes pueden usar el servidor de nombres. Los servidores de nombres como estos pueden usarse para ataques de amplificación de DNS porque pueden ser engañados al usar direcciones IP falsificadas para consultas de DNS. El atacante falsifica el origen de la consulta en la dirección de su víctima. La respuesta (que puede ser bastante grande, especialmente cuando se trata de DNSSEC) se enviará a la dirección falsificada. Cuando una gran cantidad de estas solicitudes falsificadas se realizan simultáneamente desde muchas redes, la cantidad de tráfico causada por las respuestas será grande, posiblemente lo suficientemente grande como para causar un ataque distribuido de denegación de servicio (DDoS).
BCP38 es una mejor práctica en ingeniería de redes que se puede usar para detener solicitudes falsificadas dentro de la red del atacante. Básicamente dice que ningún tráfico debe dejar una red que proviene de direcciones IP que no están asignadas a esa red. Esto se puede hacer utilizando técnicas como listas de acceso o filtrado de ruta inversa (RPF).
Los Resolventes Abiertos son solo una forma (muy efectiva) de explotar redes que no implementan BCP38 para realizar DDoS. También se utilizan otros servicios, por ejemplo, el NTP parece ser bastante popular en las últimas semanas. Permitir consultas sobre resolutores solo desde direcciones de origen confiables (cerrar las resoluciones, por así decirlo) es algo bueno, pero solo detiene un tipo de ataques. Implementar BCP38 en una red es una solución mucho más efectiva, ya que detiene muchos más tipos de ataques.
Lea otras preguntas en las etiquetas dns ddos dns-spoofing