Estoy aprendiendo sobre los ataques de amplificación de DNS . La idea es que un atacante pueda enviar un pequeño mensaje (la solicitud al servidor DNS) y hacer que envíe un mensaje enorme a la dirección IP falsificada. ¿Qué hay en el mensaje de una respuesta DNS que lo hace tan grande? Pensé que sería solo la dirección IP asociada con el nombre de host (ya que no es todo el trabajo de DNS)?
networking
security
dns
Celeritas
fuente
fuente
Respuestas:
Una respuesta DNS puede contener mucho más que una sola dirección IP. Para una solicitud de tipo A (que solicita direcciones IP asociadas con un nombre de host), ya puede tener varias IP, por lo que si encuentra un host que recibe una gran cantidad de IP, la respuesta puede ser mayor que la solicitud.
Pero DNS puede almacenar muchos otros campos. DNSSEC firma las respuestas de DNS, lo que agrega una firma y todo el material clave necesario para verificar esa firma. DNS también puede almacenar campos TXT, que pueden contener cualquier texto que desee, campos SSHFP que contienen las huellas digitales ssh de las claves del servidor. No enumeraré todos los campos, Wikipedia mantiene una lista . Usando CUALQUIER solicitud, puede solicitar todos esos campos a la vez, por lo que la respuesta puede ser bastante grande.
fuente
Ya muy bien respondido en la pila de seguridad.
Fuente
Ese argumento "CUALQUIERA" es lo que hace que este tipo de ataque sea útil para los actores nefastos, significa que por cada 1 byte que envía, el objetivo recibe aproximadamente 6-8 bytes. Esto transforma un atacante de 100Mb en un atacante de 800Mb.
No es estrictamente relevante, pero vale la pena señalar que un ataque similar con NTP puede producir un factor de amplificación 600 + X, mucho más peligroso que 8X.
fuente