ataque de reflexión frente a ataque de amplificación dns

8

En las últimas semanas he escuchado discusiones sobre un ataque de reflexión de DNS y un ataque de amplificación de DNS.

¿Existe realmente una diferencia entre los dos o hay personas que solo usan 2 nombres diferentes para el mismo método de ataque?

Definición de ataque de amplificación de DNS 1

  

Un ataque de amplificación de DNS es una negación distribuida basada en la reflexión   Ataque de servicio (DDoS). El atacante falsifica las solicitudes de búsqueda al dominio.   Servidores de sistema de nombres (DNS) para ocultar la fuente del exploit y dirigirlos.   La respuesta al objetivo.

Definición de ataque de amplificación de DNS 2 :

  

Un ataque de amplificación de DNS es una denegación de servicio distribuida (DDoS)   táctica que pertenece a la clase de ataques de reflexión - ataques en   el cual un atacante entrega tráfico a la víctima de su ataque por   Reflejándolo de un tercero para que el origen del ataque sea   escondido de la víctima.

Si buscas en Google "DNS Reflection Attack", lo que se resuelve es una lista de ataques de amplificación de DNS.

US-CERT solo notas de ataques de amplificación de DNS.

Ambas definiciones indican que el ataque de amplificación es una clase o parte de un ataque de reflexión.

¿Cuál es la diferencia entre solo un ataque de reflexión de DNS y un ataque de amplificación de DNS?

    
pregunta user3271518 13.07.2015 - 17:43
fuente

1 respuesta

16

Revelación completa, trabajo para una compañía que desarrolla servicios de firewall de mitigación DDoS y aplicaciones web

La amplificación de DNS es un ataque de denegación de servicio distribuido (DDoS) en el que el atacante explota vulnerabilidades en los servidores del sistema de nombres de dominio (DNS) para convertir las consultas inicialmente pequeñas en cargas útiles mucho más grandes, que se utilizan para reducir los servidores de la víctima.

La amplificación de DNS es un tipo de ataque de reflexión que manipula los sistemas de nombres de dominio accesibles al público, lo que hace que inunden un objetivo con grandes cantidades de paquetes UDP. Usando varias técnicas de amplificación, los perpetradores pueden "inflar" el tamaño de estos paquetes UDP, haciendo que el ataque sea tan potente como para derribar incluso la infraestructura de Internet más robusta.

La amplificación de DNS, al igual que otros ataques de amplificación, es un tipo de ataque de reflexión. En este caso, la reflexión se logra provocando una respuesta de un resolutor de DNS a una dirección IP falsificada.

Durante un ataque de amplificación de DNS, el perpetrador envía una consulta de DNS con una dirección IP falsificada (la de la víctima) a un servidor de resolución de DNS abierto, lo que le pide que responda a esa dirección con una respuesta de DNS. Con el envío de numerosas consultas falsas y la respuesta simultánea de varios solucionadores de DNS, la red de la víctima puede verse abrumada por la gran cantidad de respuestas de DNS.

Para amplificar un ataque de DNS, cada solicitud de DNS puede enviarse utilizando la extensión del protocolo DNS EDNS0, que permite mensajes DNS de gran tamaño o la función criptográfica de la extensión de seguridad DNS (DNSSEC) para aumentar el tamaño del mensaje. También se pueden usar consultas falsas del tipo "ANY", que devuelve toda la información conocida sobre una zona DNS en una sola solicitud.

A través de estos y otros métodos, se puede configurar un mensaje de solicitud de DNS de unos 60 bytes para obtener un mensaje de respuesta de más de 4000 bytes al servidor de destino, lo que resulta en un factor de amplificación de 70: 1. Esto aumenta notablemente el volumen de tráfico que recibe el servidor de destino y acelera la velocidad a la que se agotarán los recursos del servidor.

Además, los ataques de amplificación de DNS generalmente transmiten solicitudes de DNS a través de una o más botnets - aumentando drásticamente el volumen de tráfico dirigido al servidor o servidores de destino, y haciendo que sea mucho más difícil rastrear la identidad del atacante.

Mi empresa proporciona varias soluciones para protegerse contra ataques de DNS. Lea más acerca de cómo puede mitigar este tipo de ataques: enlace

    
respondido por el Sina Siar 17.07.2015 - 21:20
fuente

Lea otras preguntas en las etiquetas