Ataque de amplificação de DNS é um ataque de negação de serviço distribuído (DDos) baseado em reflexão.
O ataque de spoofs de ataque aos servidores do sistema de nomes de domínio (DNS) para esconder a origem do exploit e direcionar a resposta para o alvo. Através de várias técnicas, o atacante transforma uma pequena consulta DNS em uma carga útil muito maior direcionada à rede alvo.
O atacante envia um pedido de look-up DNS usando o endereço IP spoofed do alvo para servidores DNS vulneráveis. Mais comumente, estes são servidores DNS que suportam relay recursivo aberto. O pedido original é frequentemente retransmitido através de uma botnet para uma base maior de ataque e ocultação posterior. A requisição DNS é enviada usando a extensão EDNS0 para o protocolo DNS permitindo grandes mensagens DNS. Também pode usar a funcionalidade criptográfica de extensão de segurança DNS (DNSSEC) para adicionar ao tamanho da mensagem.
Estas amplificações podem aumentar o tamanho das requisições de cerca de 40 bytes para acima do tamanho máximo do pacote Ethernet de 4000 bytes. Isto requer que eles sejam quebrados para transmissão e então remontados, requerendo mais recursos de rede alvo. Os muitos pedidos amplificados de uma botnet permitem que um atacante dirija um ataque grande com pouco uso de largura de banda de saída. O ataque é difícil de proteger, pois vem de servidores de aparência válida com tráfego de aparência válida.
A amplificação do DNS é um dos tipos de ataque mais populares. Em março de 2013, o método foi usado para atacar Spamhaus provavelmente por um fornecedor de malware cujo negócio a organização tinha interrompido por uma lista negra. O anonimato do ataque era tal que o Spamhaus ainda não tem certeza da fonte. Além disso, o ataque foi tão severo que temporariamente aleijou e quase derrubou a Internet.
Métodos propostos para prevenir ou mitigar o impacto de ataques de amplificação do DNS incluem limitação de taxa, bloqueio de servidores DNS específicos ou de todos os servidores de retransmissão recursivos abertos, e reforço da segurança do servidor DNS em geral.