Tấn công DNS Amplification là gì?
DNS Amplification là một cuộc tấn công Distributed Denial of Service (DDoS), trong đó kẻ tấn công khai thác các lỗ hổng trong những DNS (Domain Name System) server để biến các truy vấn nhỏ ban đầu thành những payload lớn hơn nhiều, được sử dụng để “hạ gục” máy chủ của nạn nhân.
DNS Amplification là một kiểu tấn công phản chiếu, nhằm thao túng các DNS có thể truy cập công khai, khiến chúng trở thành mục tiêu với số lượng lớn các gói UDP. Bằng cách sử dụng nhiều kỹ thuật khác nhau, thủ phạm có thể “thổi phồng” kích thước của các gói UDP này, khiến cuộc tấn công trở nên mạnh mẽ đến mức phá hủy cả cơ sở hạ tầng Internet mạnh mẽ nhất.
Mô tả cuộc tấn công
DNS Amplification, giống như các cuộc tấn công khuếch đại khác, là một loại tấn công phản chiếu. Trong trường hợp này, việc phản chiếu đạt được bằng cách gợi ra phản hồi từ trình phân giải DNS tới một địa chỉ IP giả mạo.
Trong một cuộc tấn công DNS Amplification, thủ phạm sẽ gửi một truy vấn DNS có địa chỉ IP giả mạo (của nạn nhân) tới một trình phân giải DNS đang mở, khiến nó trả lời lại địa chỉ đó bằng phản hồi DNS. Với nhiều truy vấn giả được gửi đi và với một số trình phân giải DNS trả lời lại đồng thời, mạng của nạn nhân có thể dễ dàng bị “choáng ngợp” bởi số lượng phản hồi DNS không kiểm soát.
Các đòn phản kích càng nguy hiểm hơn khi được khuếch đại. “Khuếch đại” ở đây đề cập đến việc phản hồi của máy chủ không tương xứng với yêu cầu gói ban đầu được gửi.
Để khuếch đại một cuộc tấn công DNS như thế này, mỗi yêu cầu DNS có thể được gửi bằng protocol extension DNS EDNS0, cho phép các DNS message lớn hoặc sử dụng tính năng mật mã của DNSSEC (DNS security extension) nhằm tăng kích thước message. Các truy vấn giả mạo thuộc loại “ANY” (bất kỳ), trả lại tất cả thông tin đã biết về vùng DNS trong một yêu cầu duy nhất, cũng có thể được sử dụng.
Thông qua các phương pháp này và những phương pháp khác, một thông báo yêu cầu DNS có kích thước khoảng 60 byte có thể được cấu hình để gửi thông báo phản hồi trên 4000 byte tới máy chủ đích – dẫn đến hệ số khuếch đại 70:1. Điều này làm tăng đáng kể khối lượng lưu lượng truy cập mà máy chủ mục tiêu nhận được và tăng tốc độ cạn kiệt tài nguyên của máy chủ.
Hơn nữa, các cuộc tấn công DNS Amplification thường chuyển tiếp các yêu cầu DNS thông qua một hoặc nhiều mạng botnet – làm tăng đáng kể lưu lượng truy cập trực tiếp vào (các) máy chủ được nhắm mục tiêu và khiến việc theo dõi danh tính của kẻ tấn công khó hơn nhiều.
Phương pháp giảm thiểu tác động của cuộc tấn công DNS Amplification
Các cách phổ biến để ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn công DNS Amplification bao gồm thắt chặt bảo mật DNS server, chặn những DNS server cụ thể hoặc tất cả các recursive relay server và giới hạn tốc độ.
Tuy nhiên, những phương pháp này không loại bỏ các nguồn tấn công, cũng như không làm giảm tải trên mạng và chuyển đổi giữa máy chủ định danh (name server) và máy chủ đệ quy (recursive server) mở. Ngoài ra, việc chặn tất cả lưu lượng truy cập từ các máy chủ đệ quy mở có thể cản trở những nỗ lực giao tiếp DNS hợp pháp. Chẳng hạn, một số tổ chức duy trì máy chủ đệ quy mở để nhân viên làm việc trên thiết bị di động có thể phân giải từ máy chủ định danh “đáng tin cậy”. Việc chặn lưu lượng truy cập từ các máy chủ này có thể cản trở quyền truy cập của họ.
