Revelación completa, trabajo para una compañía que desarrolla servicios de firewall de mitigación DDoS y aplicaciones web
La amplificación de DNS es un ataque de denegación de servicio distribuido (DDoS) en el que el atacante explota vulnerabilidades en los servidores del sistema de nombres de dominio (DNS) para convertir las consultas inicialmente pequeñas en cargas útiles mucho más grandes, que se utilizan para reducir los servidores de la víctima.
La amplificación de DNS es un tipo de ataque de reflexión que manipula los sistemas de nombres de dominio accesibles al público, lo que hace que inunden un objetivo con grandes cantidades de paquetes UDP. Usando varias técnicas de amplificación, los perpetradores pueden "inflar" el tamaño de estos paquetes UDP, haciendo que el ataque sea tan potente como para derribar incluso la infraestructura de Internet más robusta.
La amplificación de DNS, al igual que otros ataques de amplificación, es un tipo de ataque de reflexión. En este caso, la reflexión se logra provocando una respuesta de un resolutor de DNS a una dirección IP falsificada.
Durante un ataque de amplificación de DNS, el perpetrador envía una consulta de DNS con una dirección IP falsificada (la de la víctima) a un servidor de resolución de DNS abierto, lo que le pide que responda a esa dirección con una respuesta de DNS. Con el envío de numerosas consultas falsas y la respuesta simultánea de varios solucionadores de DNS, la red de la víctima puede verse abrumada por la gran cantidad de respuestas de DNS.
Para amplificar un ataque de DNS, cada solicitud de DNS puede enviarse utilizando la extensión del protocolo DNS EDNS0, que permite mensajes DNS de gran tamaño o la función criptográfica de la extensión de seguridad DNS (DNSSEC) para aumentar el tamaño del mensaje. También se pueden usar consultas falsas del tipo "ANY", que devuelve toda la información conocida sobre una zona DNS en una sola solicitud.
A través de estos y otros métodos, se puede configurar un mensaje de solicitud de DNS de unos 60 bytes para obtener un mensaje de respuesta de más de 4000 bytes al servidor de destino, lo que resulta en un factor de amplificación de 70: 1. Esto aumenta notablemente el volumen de tráfico que recibe el servidor de destino y acelera la velocidad a la que se agotarán los recursos del servidor.
Además, los ataques de amplificación de DNS generalmente transmiten solicitudes de DNS a través de una o más botnets - aumentando drásticamente el volumen de tráfico dirigido al servidor o servidores de destino, y haciendo que sea mucho más difícil rastrear la identidad del atacante.
Mi empresa proporciona varias soluciones para protegerse contra ataques de DNS. Lea más acerca de cómo puede mitigar este tipo de ataques: enlace