DNS 증폭은 작은 위조 질의가 큰 응답으로 되돌아가는 구조다
공격자는 피해자 IP로 출발지를 속이고, 공개 resolver는 큰 DNS 응답을 피해자에게 반사한다.
1 attacker
출발지 IP를 피해자로 위조
UDP DNS 질의는 연결 확인 없이 나가므로 스푸핑에 악용된다.
2 open resolver
작은 질의를 큰 응답으로 반사
ANY, DNSSEC, TXT, EDNS0 응답이 요청보다 훨씬 커진다.
3 victim
요청하지 않은 큰 응답을 대량 수신
회선 포화, DNS/웹 지연, 방화벽 상태 고갈로 이어진다.
작은 질의예: 60B
많은 반사자공개 resolver 다수
큰 응답예: 3000B면 약 50배
증폭 요인
왜 커지는가
차단 위치
IP spoofing
응답이 공격자 대신 피해자에게 감
BCP 38 ingress/egress filtering
open resolver
누구에게나 재귀 질의를 허용
허용 대역 제한, 공개 재귀 차단
large answer
DNSSEC/TXT/ANY 응답이 요청보다 큼
RRL, ANY 최소화, 응답 크기 관리
네트워크 사업자스푸핑을 출구에서 차단위조 출발지 패킷이 인터넷으로 나가지 못하게 한다.
DNS 운영자open resolver 금지재귀 질의는 내부/허용 대역에만 열고 응답률 제한을 둔다.
서비스 운영자원본 노출과 흡수 용량 관리CDN/Anti-DDoS와 원본 IP 보호를 함께 둔다.