UDPパケットまたはDNS応答パケットをブロックすることでDNS増幅攻撃をブロックできないのはなぜですか？

私たちはできる...

クエリがサーバーに到達する時点では、すでに手遅れです。サーバーは、パケットと要求で何かを実行しようとしてリソースを浪費します。すべての接続をiptablesドロップするような場合でも、サーバーの受信帯域幅をすべて使い果たしてしまいます。すべてのトラフィックを別の場所にリダイレクトすると、送信帯域幅が消費され、サーバーと新しいターゲット間のネットワーク障害が伝播します。

これはネットワークインフラストラクチャの問題です。サーバーの問題ではありません（オープンな再帰リゾルバでない限り）。トラフィックは、パイプでさらに処理（キル）する必要があります。 3月23日の CERT advisoryは次のとおりです。

残念ながら、これらの攻撃の1つによって生成される可能性がある圧倒的なトラフィック量のため、被害者が大規模なDNS増幅ベースの分散型サービス拒否攻撃に対抗するためにできることはほとんどありません。このタイプの攻撃を排除する唯一の効果的な手段は、オープンな再帰リゾルバを排除することですが、これには多数の関係者による大規模な取り組みが必要です。

さらに

Source IP Verfication：攻撃者が制御するクライアントによって送信されるDNSクエリは、被害者のシステムとして表示されるように偽装されたソースアドレスを持っている必要があるため、最初のステップDNS増幅の効果を低減することは、インターネットサービスプロバイダーが偽装アドレスを持つDNSトラフィックを拒否することです。

問題は、ネットワークに到達する前にトラフィックをドロップする必要があることです。そのため、サーバーでパケットをドロップするのは遅すぎます。リスクを軽減する最善の方法は、DDoS軽減技術が導入されているAkamaiやCloudfareなどのパケットスクラビングサービスを使用して、このトラフィックがネットワークに到達しないようにすることです。

サーバー上のトラフィックをブロックしても、DDoSが最終的にそのアップリンクやネットワーク内の他のリンクを飽和させることはありません。 DNS増幅攻撃はすべて、大量の帯域幅を生成することです。

アップリンクはまだ飽和しています。

これを軽減する唯一の方法は、サーバーでRRLをオンにして、オープンリゾルバーを利用することです。また、正当なオープンリゾルバの場合は、TCビットを設定して（ "TCPを使用して再試行してください"）、UDPパケットをできるだけ小さくして、増幅が発生しないようにし、正当なトラフィックを壊さないようにします。

リゾルバーの他の緩和手法には、UDPを使用して送信される応答の最小TTL（これも中毒の防止に役立ちます）と妥当な最大ペイロードサイズの適用が含まれます。このため、Google DNSは512バイトの制限を使用しています。

ランダムなインターネットIPに対するパブリックDNSサーバーの再帰応答を無効にして（つまり、「オープンリゾルバー」の穴を閉じても）、これは軽減されません。あなたは答え」の応答であり、それでも着信クエリよりはるかに大きくなる可能性があります。

ここで前述したように、実際には応答率制限またはアップストリーム測定のいくつかの組み合わせを使用する必要があります。技術的には、出力フィルタリングを使用して、スプーフィングされた宛先へのルートとは異なるリンク/インターフェースで発信された発信パケットをブロックできますが、実行できない単純なネットワーク（つまり、単一のインターネットリンク）でブロックできます。

パケットホップカウントを使用して着信パケットの正当性を推測するなど、他の緩和策について説明した古いホワイトペーパーは次のとおりです。

http://cs.unc.edu/~jeffay/courses/nidsS05/slides/17-Egress-Filtering.pdf

ただし、もちろん、「リフレクタポイント」でのフィルタリングとレート制限応答は、DNSサーバーに向けられている大きな着信パケットストリームを軽減しません。 DNSサーバーとDNSサーバーによるDDoS攻撃から意図されたターゲットを排除し、ジャンクトラフィックで行き詰まるのを防ぎます。