Au cours des dernières semaines, j'ai entendu des discussions sur une attaque de réflexion DNS et une attaque d'amplification DNS.
Y a-t-il vraiment une différence entre les deux ou les gens utilisent-ils simplement 2 noms différents pour la même méthode d'attaque?
Définition d'attaque d'amplification DNS 1
Une attaque d'amplification DNS est une attaque par déni de service distribué (DDoS) basé sur la réflexion. L'attaquant usurpe des requêtes de recherche vers des serveurs DNS (Domain Name System) pour masquer la source de l'exploit et diriger la réponse vers la cible.
Définition d'attaque d'amplification DNS 2 :
Une attaque d'amplification DNS est une tactique de déni de service distribué (DDoS) qui appartient à la classe des attaques par réflexion - attaques dans lesquelles un attaquant délivre du trafic à la victime de son attaque en le réfléchissant sur un tiers afin que l'origine de l'attaque est cachée à la victime.
Si vous recherchez sur Google "Attaque par réflexion DNS", ce qui est résolu est une liste d'attaques d'amplification DNS.
US-CERT ne note que les attaques d'amplification DNS.
Les deux définitions indiquent que l'attaque d'amplification est une classe ou une partie d'une attaque par réflexion.
Quelle est la différence entre une attaque par réflexion DNS et une attaque par amplification DNS?
Divulgation complète, je travaille pour une entreprise qui développe des services d'atténuation des DDoS et de pare-feu d'applications Web
L'amplification DNS est une attaque par déni de service distribué (DDoS) dans laquelle l'attaquant exploite les vulnérabilités des serveurs DNS (Domain Name System) pour transformer initialement de petites requêtes en charges utiles beaucoup plus importantes, qui sont utilisées pour faire tomber les serveurs de la victime.
L'amplification DNS est un type d'attaque par réflexion qui manipule les systèmes de noms de domaine accessibles au public, les faisant inonder une cible avec de grandes quantités de paquets UDP. À l'aide de diverses techniques d'amplification, les auteurs peuvent "gonfler" la taille de ces paquets UDP, ce qui rend l'attaque si puissante qu'elle fait tomber même l'infrastructure Internet la plus robuste.
L'amplification DNS, comme les autres attaques d'amplification, est un type d'attaque par réflexion. Dans ce cas, la réflexion est obtenue en provoquant une réponse d'un résolveur DNS à une adresse IP usurpée.
Lors d'une attaque d'amplification DNS, l'auteur envoie une requête DNS avec une adresse IP falsifiée (celle de la victime) à un résolveur DNS ouvert, l'invitant à répondre à cette adresse avec une réponse DNS. Avec de nombreuses fausses requêtes envoyées et avec plusieurs résolveurs DNS répondant simultanément, le réseau de la victime peut facilement être submergé par le grand nombre de réponses DNS.
Pour amplifier une attaque DNS, chaque demande DNS peut être envoyée à l'aide de l'extension de protocole DNS EDNS0, qui autorise les messages DNS volumineux, ou à l'aide de la fonction cryptographique de l'extension de sécurité DNS (DNSSEC) pour augmenter la taille des messages. Les requêtes usurpées de type "ANY", qui renvoient toutes les informations connues sur une zone DNS en une seule demande, peuvent également être utilisées.
Grâce à ces méthodes et à d'autres, un message de requête DNS d'environ 60 octets peut être configuré pour déclencher un message de réponse de plus de 4000 octets vers le serveur cible, ce qui entraîne un facteur d'amplification de 70: 1. Cela augmente considérablement le volume de trafic reçu par le serveur cible et accélère la vitesse à laquelle les ressources du serveur seront épuisées.
De plus, les attaques d'amplification DNS relaient généralement les requêtes DNS via un ou plusieurs botnets - augmentant considérablement le volume de trafic dirigé vers le ou les serveurs ciblés, et rendant beaucoup plus difficile le traçage de l'identité de l'attaquant.
Mon entreprise propose différentes solutions pour vous protéger contre les attaques DNS. Veuillez en savoir plus sur la façon dont vous pouvez atténuer ce type d'attaques: https://www.incapsula.com/ddos/attack-glossary/dns-amplification.html