DNS amplificatie-aanvallen straks niet meer te stoppen zonder BCP 38
Gepubliceerd op 14-03-2013
Twee weken geleden publiceerden de Universiteit van Amsterdam en NLnet Labs een gezamelijk rapport over de effectiviteit van maatregelen tegen DNS amplificatie-aanvallen. Javy de Koning en Thijs Rozekrans simuleerden bij NLnet Labs een ANY-gebaseerde aanval en onderzochten hoe Response Rate Limiting (RRL) het beste ingezet kan worden om een dergelijke aanval te pareren. Daarnaast keken zij naar de effectiviteit van RRL bij geavanceerdere aanvallen en bespreken ze DNS dampening als alternatief verdedigingsmechanisme.
De DNS amplificatie-aanval, een specifieke vorm van de Denial-of-Service aanval, maakt gebruik van het feit dat een kleine DNS query een veel grotere response als antwoord kan genereren. Omdat DNS standaard gebruik maakt van het snelle maar stateless UDP-protocol kan het afzender-adres makkelijk worden vervalst (IP address spoofing). Door vanuit een botnet een grote hoeveelheid DNS queries naar een of meer name-servers te sturen, kan via die servers een DDoS-aanval (Distributed Denial-of-Service) worden uitgevoerd.