Estoy leyendo una encuesta sobre los ataques DDoS y describen cómo estos ataques pueden clasificarse por ataques de nivel de red / transporte y ataques de nivel de aplicación. En sus ejemplos, clasifican la inundación de DNS como red / transporte y la amplificación de DNS como nivel de aplicación. No entiendo completamente la diferencia y, en mi opinión, cuestiono por qué la amplificación de DNS no es un ataque de la capa de red / transporte también.
Por lo que yo entiendo, en la inundación de DNS, ha distribuido bots que inundan las consultas UDP esencialmente, abrumando el ancho de banda de tal manera que los usuarios legítimos no pueden enviar sus solicitudes. En la amplificación de DNS, está falsificando la IP de la víctima en una solicitud de DNS, de modo que cuando llega la respuesta, es un tamaño múltiple que se remonta a la víctima. Por lo que entiendo, esto no se dirige exactamente a ninguna aplicación (como las inundaciones de HTTP) y, por el contrario, ambos ejemplos están comprometiendo los recursos de la red en lugar de los recursos del sistema de la víctima. ¿Cómo se considera exactamente la amplificación de DNS un ataque de nivel de aplicación?
Enlace a la encuesta: enlace