DNS amplification attack

Een DNS amplification attack is een reflection-based distributed denial of service (DDos) attack.

De aanvaller spoofs look-up requests naar domain name system (DNS) servers om de bron van het exploit te verbergen en het antwoord naar het doelwit te leiden. Door middel van verschillende technieken maakt de aanvaller van een kleine DNS query een veel grotere payload gericht op het doelnetwerk.

De aanvaller stuurt een DNS look-up verzoek met het gespoofde IP adres van het doelwit naar kwetsbare DNS servers. Meestal zijn dit DNS-servers die open recursieve relay ondersteunen. Het oorspronkelijke verzoek wordt vaak doorgestuurd via een botnet voor een grotere aanvalsbasis en verdere verhulling. Het DNS-verzoek wordt verzonden met behulp van de EDNS0-uitbreiding van het DNS-protocol, waardoor grote DNS-berichten mogelijk zijn.

Het kan ook gebruik maken van de cryptografische DNS-beveiligingsextensie (DNSSEC) om de grootte van het bericht te vergroten.

Deze uitbreidingen kunnen de grootte van de verzoeken vergroten van ongeveer 40 bytes tot boven de maximale Ethernet pakketgrootte van 4000 bytes. Dit betekent dat ze voor verzending moeten worden opgesplitst en weer samengevoegd, waardoor nog meer doelnetwerkbronnen nodig zijn.  Met de vele versterkte verzoeken van een botnet kan een aanvaller een grote aanval uitvoeren met weinig gebruik van uitgaande bandbreedte. De aanval is moeilijk tegen te beschermen, omdat hij afkomstig is van goed uitziende servers met goed uitziend verkeer.

DNS-versterking is een van de populairdere aanvalstypen.  In maart 2013 werd de methode gebruikt om Spamhaus aan te vallen, waarschijnlijk door een leverancier van malware wiens bedrijf de organisatie had verstoord door het op een zwarte lijst te plaatsen. De anonimiteit van de aanval was dusdanig dat Spamhaus nog steeds niet zeker is van de bron. Bovendien was de aanval zo ernstig dat het internet tijdelijk werd lamgelegd en bijna uitviel.

Voorgestelde methoden om de gevolgen van DNS amplification-aanvallen te voorkomen of te beperken zijn onder meer het beperken van de snelheid, het blokkeren van specifieke DNS-servers of alle open recursieve relay-servers, en het aanscherpen van de beveiliging van DNS-servers in het algemeen.