DNSリフレクション攻撃とDNS増幅攻撃

完全な開示、私はDDoS緩和とWebアプリケーションファイアウォールサービスを開発する会社で働いています

DNS増幅は分散型サービス拒否（DDoS）攻撃であり、攻撃者はドメインネームシステム（DNS）サーバーの脆弱性を利用して、最初は小さなクエリをはるかに大きなペイロードに変え、被害者のサーバーをダウンさせるために使用されます。

DNS増幅は、公にアクセス可能なドメインネームシステムを操作する一種のリフレクション攻撃であり、大量のUDPパケットでターゲットをフラッディングします。さまざまな増幅技術を使用して、加害者はこれらのUDPパケットのサイズを「膨らませ」、攻撃を非常に強力にして、最も堅牢なインターネットインフラストラクチャさえも破壊します。

DNS増幅は、他の増幅攻撃と同様に、一種のリフレクション攻撃です。この場合、リフレクションは、DNSリゾルバーから偽装されたIPアドレスへの応答を引き出すことによって実現されます。

DNS増幅攻撃中に、実行者は偽造されたIPアドレス（被害者のアドレス）を含むDNSクエリをオープンDNSリゾルバーに送信し、DNS応答でそのアドレスに返信するように要求します。多数の偽のクエリが送信され、複数のDNSリゾルバが同時に返信するため、被害者のネットワークは、膨大な数のDNS応答によって簡単に圧倒されます。

DNS攻撃を拡大するために、各DNS要求は、大きなDNSメッセージを可能にするEDNS0 DNSプロトコル拡張を使用して送信するか、DNSセキュリティ拡張（DNSSEC）の暗号化機能を使用してメッセージサイズを増やすことができます。 1つのリクエストでDNSゾーンに関するすべての既知の情報を返すタイプ「ANY」のスプーフィングされたクエリも使用できます。

これらの方法や他の方法を使用して、約60バイトのDNS要求メッセージを構成して、ターゲットサーバーに4000バイトを超える応答メッセージを引き出し、70：1の増幅率を実現できます。これにより、ターゲットサーバーが受信するトラフィック量が著しく増加し、サーバーのリソースが使い果たされる速度が加速します。

さらに、DNS増幅攻撃は通常、1つまたは複数の botnets –を介してDNS要求をリレーします。ターゲットサーバーへのトラフィック量が大幅に増加し、攻撃者のIDを追跡することがはるかに困難になります。

私の会社では、DNS攻撃から身を守るためのさまざまなソリューションを提供しています。これらの種類の攻撃を軽減する方法の詳細については、次を参照してください。 https://www.incapsula.com/ddos/attack-glossary/dns-amplification.html