Den mest utsatta delen av DNS att attackera från en skadlig användare är
rekursiv upplösare .
Här är varför:
* Tillgänglighet: Rekursiva upplösare är offentligt tillgängliga. De är ingångspunkten för de flesta användare och applikationer som vill lösa domännamn. Till skillnad från auktoritativa namnservrar (som har de faktiska DNS -posterna för en domän) har rekursiva upplösare inte samma nivå av säkerhetskontroller eller övervakning på plats.
* amplifieringsattacker: Rekursiva upplösare kan utnyttjas i amplifieringsattacker som DNS -amplifiering och reflektionsattacker. Dessa attacker utnyttjar upplösarens tendens att skicka stora svar på små frågor. En skadlig skådespelare kan skicka en smidd fråga till många upplösare och rikta in sig på ett offer med en översvämning av svar många gånger större än den första begäran och därmed överväldigande offrets nätverk.
* cacheförgiftning: En framgångsrik cacheförgiftningsattack manipulerar den rekursiva upplösarens cache för att returnera felaktiga IP -adresser för en legitim domän. Detta kan omdirigera användare till skadliga webbplatser, avlyssna sina data eller infektera sina system med skadlig programvara. Eftersom rekursiva upplösare ofta cachesresultat av prestationsskäl är detta en särskilt potent attackvektor.
* Öppna upplösares sårbarhet: Många rekursiva upplösare är konfigurerade med öppen åtkomst, vilket innebär att vem som helst kan skicka frågor till dem. Detta expanderar dramatiskt attackytan, vilket gör att angripare lätt kan starta olika attacker utan att behöva kompromissa med själva upplösningen.
Medan auktoritativa servrar också är sårbara för attacker (t.ex. zonöverföringar, attacker för förnekande av tjänster), gör den utbredda tillgängligheten och den inneboende operativa egenskaperna hos rekursiva upplösare dem till det vanligare och enklare målet för skadliga användare. Den stora skala och distribuerade karaktären av rekursiva upplösare gör också försvar mot dem till en betydande utmaning.
