¿Cómo contiene una respuesta DNS tanta información?

2

Estoy aprendiendo sobre los ataques de amplificación de DNS . La idea es que un atacante pueda enviar un pequeño mensaje (la solicitud al servidor DNS) y hacer que envíe un mensaje enorme a la dirección IP falsificada. ¿Qué hay en el mensaje de una respuesta DNS que lo hace tan grande? Pensé que sería solo la dirección IP asociada con el nombre de host (ya que no es todo el trabajo de DNS)?

Celeritas
fuente
En resumen, no, ese no es el trabajo completo de DNS: es la tarea más común que hace, pero no es la única tarea posible .
Grawity

Respuestas:

2

Una respuesta DNS puede contener mucho más que una sola dirección IP. Para una solicitud de tipo A (que solicita direcciones IP asociadas con un nombre de host), ya puede tener varias IP, por lo que si encuentra un host que recibe una gran cantidad de IP, la respuesta puede ser mayor que la solicitud.

Pero DNS puede almacenar muchos otros campos. DNSSEC firma las respuestas de DNS, lo que agrega una firma y todo el material clave necesario para verificar esa firma. DNS también puede almacenar campos TXT, que pueden contener cualquier texto que desee, campos SSHFP que contienen las huellas digitales ssh de las claves del servidor. No enumeraré todos los campos, Wikipedia mantiene una lista . Usando CUALQUIER solicitud, puede solicitar todos esos campos a la vez, por lo que la respuesta puede ser bastante grande.

usuario2313067
fuente
1

Ya muy bien respondido en la pila de seguridad.

Para amplificar un ataque de DNS, cada solicitud de DNS se puede enviar utilizando la extensión de protocolo DNS EDNS0, que permite mensajes DNS grandes, o utilizando la función criptográfica de la extensión de seguridad DNS (DNSSEC) para aumentar el tamaño del mensaje. También se pueden utilizar consultas falsas del tipo "CUALQUIERA", que devuelve toda la información conocida sobre una zona DNS en una sola solicitud.

Fuente

Ese argumento "CUALQUIERA" es lo que hace que este tipo de ataque sea útil para los actores nefastos, significa que por cada 1 byte que envía, el objetivo recibe aproximadamente 6-8 bytes. Esto transforma un atacante de 100Mb en un atacante de 800Mb.

No es estrictamente relevante, pero vale la pena señalar que un ataque similar con NTP puede producir un factor de amplificación 600 + X, mucho más peligroso que 8X.

Linef4ult
fuente