معرفی حمله DNS Amplification Attack

تا به امروز در خصوص متود ها مختلف حملات TCP توضیح داده ایم؛ اما امروز قصد داریم یک متود متفاوت از حملات را کالبد شکافی کنیم؛ حملاتی غول آسا و غیر قابل کنترل و البته معروف با نام DNS Amplification Attack .

یک حمله DNS amplification بر پایه هدایت ترافیک بدون اتصال از پروتکل UDP استفاده می شود. مهاجم با استفاده از DNS سرور های باز عمومی سعی در هدایت ترافیک بالا به آی پی قربانی است.در روش اولیه مهاجم یک درخواست DNS name lookup به یک سرور DNS عمومی ارسال می کند اما از IP جعلی ( که همان آی پی قربانی می باشد) جهت ارسال استفاده می کند و DNS سرور پاسخ را به همین آی پی ارسال می کند.

عامل تقویت بخش اصلی این حمله است؛ تقویت در این نوع حملات ۵۴X است؛ یعنی هر بایت ترافیک که توسط مهاجم به سرور  DNS ارسال می شود؛ پاسخی به اندازه ۵۴ بایت از سمت DNS سرور برای آی پی قربانی به همراه خواهد داشت.

اکثر حملات مشاهده شده از این نوع توسط US-CERT انجام شده؛درخواست های جعلی ارسال شده توسط هکر ها از نوع  “ANY” هستند که تمامی اطلاعات شناخته شده در خصوص ناحیه DNS را به آی پی قربانی بازگشت می دهد که به طور قابل توجهی بسیار بزرگتر از درخواست ارسال شده توسط مهاجم می باشد.

با استفاده از بات نت ها برای تولید تعداد زیادی از درخواست های DNS با آی پی های جعلی , مهاجم می تواند با کمترین تلاش بیشترین ترافیک را به سمت آی پی قربانی هدایت کند و از طرفی چون ترافیک به صورت مشروع از سرور های معتبر ارسال می شود؛ مهار و مسدود سازی آن مشکل خواهد بود.

در مثال زیر  ما میبینیم که یک درخواست پرس و جو جعلی از آی پی قربانی (۱۰٫۱۰۰٫۱۰۱٫۱۰۲ ) بر روی پورت ۸۰ را میبینیم که از DNS سرور ۱۹۲٫۱۶۸٫۵٫۱۰ انجام شده است:

به خواندن ادامه دهید