Эта DDoS-атака представляет собой основанную на отражении объемную распределенную атаку типа «отказ в обслуживании» (DDoS), в которой злоумышленник использует функциональные возможности открытых DNS-резольверов для подавления целевого сервера или сети с усиленным объемом трафика, делая сервер и окружающую его инфраструктуру недоступными.
Все атаки усиления используют разницу в потреблении полосы пропускания между атакующим и целевым веб-ресурсом. Когда разница в стоимости увеличивается во многих запросах, результирующий объем трафика может нарушить сетевую инфраструктуру. Отправляя небольшие запросы, которые приводят к большим ответам, злоумышленник может получить больше от меньшего. Умножая это увеличение на то, что каждый бот в ботнете делает аналогичные запросы, злоумышленник как запутывается от обнаружения, так и пожинает преимущества значительно увеличенного трафика атаки.
В результате каждый бот делает запросы на открытие DNS- резольверов с поддельным IP-адресом, который был изменен на реальный IP-адрес источника целевой жертвы, цель получает ответ от DNS- резольвера. Чтобы создать большой объем трафика, злоумышленник структурирует запрос таким образом, чтобы получить максимально возможный ответ от резольвера DNS. В результате цель получает усиление исходного трафика атакующего, и их сеть забивается ложным трафиком, вызывая отказ в обслуживании.
К слову, всегда есть возможность взять в аренду сервер с защитой от DDoS-атак (здесь интересная инфа на эту тему).
Усиление DNS может быть разбито на четыре этапа:
Хотя нескольких запросов недостаточно для устранения сетевой инфраструктуры, когда эта последовательность умножается на несколько запросов и DNS-резольверов, усиление данных, получаемых целевым объектом, может быть существенным.
