ому характером атаки, т.е.злоумишленнік відправляє DNS-запит на один або кілька сторонніх DNS-серверів, які не є реальними об'єктами нападу. Зловмисники змінюють IP-адреса джерела DNS-запиту на IP-адреса цільового сервера, який і є метою атаки, тоді відповідь сторонніх серверів буде відправлений на сервер, який є метою нападу.
У процесі атаки використовується ефект посилення, при якому відповідь на DNS-запит в 3-10 разів більше, ніж сам DNS-запит. Найпоширеніші методи посилення атаки ми розглянемо трохи нижче. Іншими словами, на атакується сервер надходить набагато більше трафіку в порівнянні з невеликою кількістю запитів, згенерованих зловмисником. Успіх атаки демонструє, що організації не вимагається володіти DNS-сервером, щоб стати об'єктом DNS-атаки. Метою атаки є виведення з ладу брандмауера або каналу інтернет-з'єднання.
Атаки, які проводяться за допомогою відбитих DNS-запитів, можна підсилити. Про рівні посилення атак на протокол трохи нижче.
Ступінь анонімності при такій атаці зростає із збільшенням її розмаху. Крім зміни SRC IP (як при простому DNS-флуд), атака сама по собі виробляється не безпосередньо - запити на атакується сервер відправляються стороннім сервером.
Атака за допомогою рекурсивних DNS-запитів
Атака допомогою рекурсивних запитів є найбільш складним і асиметричним методом атаки на DNS-сервер, для її організації потрібні мінімальні обчислювальні ресурси, а результат призводить до інтенсивного споживання ресурсів DNS-сервера, який піддається нападу.
При такій атаці використовуються особливості роботи рекурсивних DNS-запитів. У рекурсивних DNS-запитах, коли DNS-клієнт робить запит з ім'ям, яке відсутнє в кеш-пам'яті DNS-сервера, сервер відправляє повторювані запити інших DNS-серверам доти, поки потрібний відповідь не буде відправлений клієнтові. Скориставшись особливостями даного процесу, зловмисник відправляє рекурсивні запити з використанням фальшивих імен, які, як він знає, не існує в кеш-пам'яті сервера (дивіться приклад скріншота екрану). Щоб дозволити такі запити, DNS-сервер повинен обробити кожен запис, тимчасово зберігаючи її, і відправити запит до іншого DNS-серверу, потім дочекатися відповіді. Іншими словами, споживається все більша кількість обчислювальних ресурсів (процесора, пам'яті і пропускної спроможності), до тих пір, поки ресурси не закінчуються.
Асиметричний характер рекурсивної атаки і низька швидкість ускладнюють боротьбу з такими атаками. Рекурсивна атака може бути пропущена як системами захисту, так і людьми, які більше зосереджені на виявленні атак з більшим обсягом.
Атака типу Garbage DNS
Як передбачає її назву, така атака переповнює DNS-сервер «сміттєвим» трафіком, відправляючи пакети даних великого розміру (1500 байт або більше) на його UDP-порт 53. Концепція такої атаки полягає в тому, щоб переповнити мережевий канал пакетами даних великого розміру. Зловмисники можуть генерувати потоки «сміттєвих» пакетів і за допомогою інших протоколів (UDP-порт 80 також часто використовується); але при використанні інших протоколів об'єкт може зупинити атаку, заблокувавши порт на рівні ISP без будь-яких наслідків. Протоколом, для якого такий захист недоступна, є протокол DNS, оскільки більшість організацій ніколи не закриє цей порт.
Фішинг/Фармінг
У класичному фішинг зловмисник поширює листи електронної пошти серед користувачів соціальних мереж, онлайн-банкінгу, поштових веб-сервісів, заманюючи на підроблені сайти користувачів, які стали жертвою обману, з метою отримання їх логінів і паролів. Багато користувачів, активно використовують сучасні веб-сервіси, не раз стикалися з подібними випадками фішингу та проявляють обережність до підозрілих повідомленнями. У схемі класичного фішингу основним слабким ланкою, що визначає ефективність всієї схеми, є залежність від користувача - повірить він Фішеру чи ні. При цьому з часом підвищується інформованість користувачів про фішингових атаках. Банки, соціальні мережі, інші веб-служби попереджають про різноманітні шахрайських прийомах з використанням методів соціальної інженерії. Все це знижує кількість відгуків в фішингової схемою - все менше користувачів вдається заманити обманним шляхом на підроблений сайт. Тому зловмисники придумали механізм прихованого перенаправлення користувачів на фішингові сайти, що отримав назву фармінга ( pharming - похідне від слів phishing і англ. Laquo; farming - заняття сільським господарством, тваринництвом). Зловмисник поширює на комп'ютери користувачів спеціальні шкідливі програми, які після запуску на комп'ютері перенаправляють звернення до заданих сайтам на підроблені сайти. Таким чином, забезпечується висока скритність атаки, а участь користувача зведена до ...