BCP38/ingress·egress filtering으로 스푸핑 트래픽을 경계에서 줄인다.
REFLECTION
DNS amplification은 스푸핑과 open resolver가 결합된다
공격자는 출발지 IP를 피해자로 위조하고, 공개 재귀 DNS가 큰 응답을 피해자에게 보내게 만든다.
spoofed sourceopen resolvervictim
01스푸핑공격자는 UDP 요청의 출발지 IP를 피해자 주소로 위조한다.
02질의open resolver에 응답이 큰 DNS 질의를 보낸다.
03반사resolver는 피해자에게 DNS 응답을 보낸다.
04증폭응답 크기와 서버 설정에 따라 트래픽이 커질 수 있다.
재귀 DNS를 외부에 열지 않고, rate limit과 응답 크기 정책을 관리한다.