ここ数週間、DNSリフレクション攻撃とDNS増幅攻撃についての議論を耳にしました。
2つの間に本当に違いがあるのですか、それとも同じ攻撃方法に2つの異なる名前を使用しているだけですか?
DNS増幅攻撃定義1
DNS増幅攻撃は、リフレクションベースの分散型サービス拒否(DDoS)攻撃です。攻撃者は、ドメインネームシステム(DNS)サーバーへのルックアップリクエストをスプーフィングして、エクスプロイトのソースを隠し、レスポンスをターゲットに送信します。
DNS増幅攻撃は、リフレクション攻撃のクラスに属する分散型サービス拒否(DDoS)戦術です-攻撃者が第三者にトラフィックを反射させることにより攻撃の犠牲者にトラフィックを配信し、攻撃は被害者から隠されています。
「DNSリフレクション攻撃」をググると、解決されるのはDNS増幅攻撃のリストです。
US-CERTはDNS増幅攻撃についてのみ言及しています。
どちらの定義も、増幅攻撃がリフレクション攻撃のクラスまたは一部であることを示しています。
DNSリフレクション攻撃とDNS増幅攻撃の違いは何ですか?
完全な開示、私はDDoS緩和とWebアプリケーションファイアウォールサービスを開発する会社で働いています
DNS増幅は分散型サービス拒否(DDoS)攻撃であり、攻撃者はドメインネームシステム(DNS)サーバーの脆弱性を利用して、最初は小さなクエリをはるかに大きなペイロードに変え、被害者のサーバーをダウンさせるために使用されます。
DNS増幅は、公にアクセス可能なドメインネームシステムを操作する一種のリフレクション攻撃であり、大量のUDPパケットでターゲットをフラッディングします。さまざまな増幅技術を使用して、加害者はこれらのUDPパケットのサイズを「膨らませ」、攻撃を非常に強力にして、最も堅牢なインターネットインフラストラクチャさえも破壊します。
DNS増幅は、他の増幅攻撃と同様に、一種のリフレクション攻撃です。この場合、リフレクションは、DNSリゾルバーから偽装されたIPアドレスへの応答を引き出すことによって実現されます。
DNS増幅攻撃中に、実行者は偽造されたIPアドレス(被害者のアドレス)を含むDNSクエリをオープンDNSリゾルバーに送信し、DNS応答でそのアドレスに返信するように要求します。多数の偽のクエリが送信され、複数のDNSリゾルバが同時に返信するため、被害者のネットワークは、膨大な数のDNS応答によって簡単に圧倒されます。
DNS攻撃を拡大するために、各DNS要求は、大きなDNSメッセージを可能にするEDNS0 DNSプロトコル拡張を使用して送信するか、DNSセキュリティ拡張(DNSSEC)の暗号化機能を使用してメッセージサイズを増やすことができます。 1つのリクエストでDNSゾーンに関するすべての既知の情報を返すタイプ「ANY」のスプーフィングされたクエリも使用できます。
これらの方法や他の方法を使用して、約60バイトのDNS要求メッセージを構成して、ターゲットサーバーに4000バイトを超える応答メッセージを引き出し、70:1の増幅率を実現できます。これにより、ターゲットサーバーが受信するトラフィック量が著しく増加し、サーバーのリソースが使い果たされる速度が加速します。
さらに、DNS増幅攻撃は通常、1つまたは複数の botnets –を介してDNS要求をリレーします。ターゲットサーバーへのトラフィック量が大幅に増加し、攻撃者のIDを追跡することがはるかに困難になります。
私の会社では、DNS攻撃から身を守るためのさまざまなソリューションを提供しています。これらの種類の攻撃を軽減する方法の詳細については、次を参照してください。 https://www.incapsula.com/ddos/attack-glossary/dns-amplification.html