attaque de réflexion DNS vs attaque d'amplification DNS

Divulgation complète, je travaille pour une entreprise qui développe des services d'atténuation des DDoS et de pare-feu d'applications Web

L'amplification DNS est une attaque par déni de service distribué (DDoS) dans laquelle l'attaquant exploite les vulnérabilités des serveurs DNS (Domain Name System) pour transformer initialement de petites requêtes en charges utiles beaucoup plus importantes, qui sont utilisées pour faire tomber les serveurs de la victime.

L'amplification DNS est un type d'attaque par réflexion qui manipule les systèmes de noms de domaine accessibles au public, les faisant inonder une cible avec de grandes quantités de paquets UDP. À l'aide de diverses techniques d'amplification, les auteurs peuvent "gonfler" la taille de ces paquets UDP, ce qui rend l'attaque si puissante qu'elle fait tomber même l'infrastructure Internet la plus robuste.

L'amplification DNS, comme les autres attaques d'amplification, est un type d'attaque par réflexion. Dans ce cas, la réflexion est obtenue en provoquant une réponse d'un résolveur DNS à une adresse IP usurpée.

Lors d'une attaque d'amplification DNS, l'auteur envoie une requête DNS avec une adresse IP falsifiée (celle de la victime) à un résolveur DNS ouvert, l'invitant à répondre à cette adresse avec une réponse DNS. Avec de nombreuses fausses requêtes envoyées et avec plusieurs résolveurs DNS répondant simultanément, le réseau de la victime peut facilement être submergé par le grand nombre de réponses DNS.

Pour amplifier une attaque DNS, chaque demande DNS peut être envoyée à l'aide de l'extension de protocole DNS EDNS0, qui autorise les messages DNS volumineux, ou à l'aide de la fonction cryptographique de l'extension de sécurité DNS (DNSSEC) pour augmenter la taille des messages. Les requêtes usurpées de type "ANY", qui renvoient toutes les informations connues sur une zone DNS en une seule demande, peuvent également être utilisées.

Grâce à ces méthodes et à d'autres, un message de requête DNS d'environ 60 octets peut être configuré pour déclencher un message de réponse de plus de 4000 octets vers le serveur cible, ce qui entraîne un facteur d'amplification de 70: 1. Cela augmente considérablement le volume de trafic reçu par le serveur cible et accélère la vitesse à laquelle les ressources du serveur seront épuisées.

De plus, les attaques d'amplification DNS relaient généralement les requêtes DNS via un ou plusieurs botnets - augmentant considérablement le volume de trafic dirigé vers le ou les serveurs ciblés, et rendant beaucoup plus difficile le traçage de l'identité de l'attaquant.

Mon entreprise propose différentes solutions pour vous protéger contre les attaques DNS. Veuillez en savoir plus sur la façon dont vous pouvez atténuer ce type d'attaques: https://www.incapsula.com/ddos/attack-glossary/dns-amplification.html