Ataque de inundación de DNS frente a DNS Amplificación: ¿Cómo se considera que uno es un ataque de red / capa de transporte y el otro como un ataque de capa de aplicación?

2

Estoy leyendo una encuesta sobre los ataques DDoS y describen cómo estos ataques pueden clasificarse por ataques de nivel de red / transporte y ataques de nivel de aplicación. En sus ejemplos, clasifican la inundación de DNS como red / transporte y la amplificación de DNS como nivel de aplicación. No entiendo completamente la diferencia y, en mi opinión, cuestiono por qué la amplificación de DNS no es un ataque de la capa de red / transporte también.

Por lo que yo entiendo, en la inundación de DNS, ha distribuido bots que inundan las consultas UDP esencialmente, abrumando el ancho de banda de tal manera que los usuarios legítimos no pueden enviar sus solicitudes. En la amplificación de DNS, está falsificando la IP de la víctima en una solicitud de DNS, de modo que cuando llega la respuesta, es un tamaño múltiple que se remonta a la víctima. Por lo que entiendo, esto no se dirige exactamente a ninguna aplicación (como las inundaciones de HTTP) y, por el contrario, ambos ejemplos están comprometiendo los recursos de la red en lugar de los recursos del sistema de la víctima. ¿Cómo se considera exactamente la amplificación de DNS un ataque de nivel de aplicación?

Enlace a la encuesta: enlace

    
pregunta dapirateking 07.04.2018 - 10:40
fuente

1 respuesta

1

Sí, lo has entendido correctamente (excepto por algunos detalles, ver más abajo) y los autores de la encuesta a la que te has vinculado es incorrecta. O al menos, si realmente han tenido alguna idea brillante detrás de ese párrafo, no lo han presentado correctamente.

Por ejemplo, definitivamente existe un enfoque para clasificar los ataques DDoS según la capa de protocolo vulnerable. De esa manera, la inundación de UDP es un ataque de la capa de transporte y la amplificación del DNS es la capa de la aplicación, aunque desde el punto de vista de la víctima, en ambos casos es la capa network la que se congestiona. La aplicabilidad en el mundo real de tal enfoque es, en el mejor de los casos, cuestionable, pero los autores de la encuesta ni siquiera se refieren a eso, son más prácticos (lo que me hace decir que cometieron un error).

Una posible razón para esto es que el párrafo que analiza la amplificación del DNS se refiere a algunos artículos que datan de 2004. Desde entonces, han ocurrido muchos eventos relacionados con DDoS, por lo que probablemente sea mejor encontrar algo más actualizado. hasta la fecha para leer.

Sin embargo, mis dos centavos:

  • Es más apropiado llamarlo "capas", no "niveles";

  • Un atacante en realidad no necesita bots para hacer una inundación de DNS basada en UDP. Un par de servidores conectados a una red con un buen ancho de banda y ningún RPF harán el mismo truco al falsificar la fuente de IP los paquetes;

  • Sin embargo, una botnet sería útil si la víctima puede hacer algunos desafíos basados en DNS o simplemente truncar rápidamente la respuesta, forzando al cliente para volver a intentar la solicitud de DNS a través de TCP (sí, DNS puede funcionar a través de TCP).

respondido por el ximaera 09.04.2018 - 15:28
fuente

Lea otras preguntas en las etiquetas