Glosario
DDoS

¿Qué es un ataque DNS Amplification? Cómo funciona, Mitigación

DNS amplification: atacante envía queries DNS pequeñas con IPs source spoofeadas, víctima recibe replies masivas, multiplica tráfico ataque 50-100x.

¿Qué es un ataque DNS amplification?

Un ataque DNS amplification es una técnica DDoS reflection-based donde un atacante abusa resolvers DNS abiertos misconfigurados para inundar una víctima con paquetes response grandes. El atacante envía pequeñas queries DNS (~60 bytes) con la IP de la víctima como source spoofeada. Los servers DNS responden con replies mucho más grandes (1.000-4.000+ bytes) enviadas a la source spoofeada, la víctima. Resultado: bandwidth del atacante se amplifica 50-100x.

DNS amplification ha sido responsable de muchos de los ataques DDoS más grandes en la historia, con picos excediendo 300 Gbps.

Cómo funciona DNS amplification

  1. Atacante craftea query DNS spoofeada. Source IP seteada a IP de víctima.
  2. Query enviada a resolver DNS abierto.
  3. Resolver responde a víctima.
  4. Víctima inundada.
  5. Repetir at scale.

Por qué importa el factor amplification

Tipo queryTamaño queryTamaño responseFactor amplification
Record A estándar~60 bytes~80 bytes1,3x
ANY query~60 bytes~3.000 bytes50x
DNSSEC TXT~60 bytes~4.000 bytes67x
Máximo (raro)~60 bytes~6.000 bytes100x

Por qué existen resolvers DNS abiertos

Un "resolver abierto" acepta queries DNS de cualquier source IP, raramente intencional, mayormente misconfiguration.

Mitigación

Para víctimas potenciales

  • Usar servicio CDN/DDoS.
  • Provisionar bandwidth suficiente.
  • Rate-limit responses DNS a tus IPs.
  • Monitorear spikes súbitos de tráfico.

Para operadores DNS server

  • Deshabilitar recursion abierta.
  • Implementar Response Rate Limiting (RRL).
  • Filtrar ANY queries.
  • Deployear DNS Cookies (RFC 7873).

Para ISPs/redes (BCP 38)

  • Implementar validación source-address (BCP 38).

Otros tipos ataque reflection

  • NTP amplification: ~556x.
  • Memcached amplification: ~50.000x. Causó ataque GitHub 2018 de 1,35 Tbps.
  • SSDP amplification
  • SNMP amplification

FAQ: ataques DNS amplification

¿Puedo ser víctima de un ataque DNS amplification?

Sí, cualquiera con IPs públicas puede ser objetivo.

¿Cómo chequeo si mi server DNS es resolver abierto?

Herramientas como dig +recurse @tu-server-ip example.com desde fuera tu red.

¿Son los ataques DNS amplification todavía comunes?

Sí, aunque menor proporción que en 2010s tempranos.

¿Hace DNSSEC peor la amplification?

Sí, responses DNSSEC son mucho más grandes.

¿Puede BCP 38 detener DNS amplification?

Si está deployado universalmente, sí.

¿Cuál fue el ataque DNS amplification más grande?

Spamhaus 2013 (~300 Gbps) y Cloudflare 2014 (~400 Gbps).

Testea protección DDoS con LoadFocus

Si estás validando tus defensas DDoS, LoadFocus corre tests HTTP load hasta 12.500 VUs desde 25+ regiones. Regístrate en loadfocus.com/signup.

Herramientas LoadFocus relacionadas

Lleva este concepto a la práctica con LoadFocus, la misma plataforma que potencia todo lo que acabas de leer.

Monitoreo de API

Monitorea uptime, latencia y respuestas API desde 25+ regiones cloud. Alertas ante fallos, desglose por status code y endpoint. Plan gratuito.

Herramienta gratuita de prueba de carga

Configure y ejecute pruebas de carga en menos de 60 segundos con nuestra herramienta gratuita de prueba de carga.

k6 Cloud Load Testing con análisis IA

Ejecuta pruebas de carga k6 en la nube con LoadFocus. Sube tus scripts de prueba JavaScript, prueba desde más de 25 regiones y obtén análisis de.

¿Qué tan rápido es tu sitio web?

Mejora su velocidad y SEO sin problemas con nuestra Prueba de Velocidad gratuita.
Comience a probar ahoraComience de forma gratuita. Sin tarjeta de crédito de antemano.

Prueba de velocidad de sitio web gratis

Analice la velocidad de carga de su sitio web y mejore su rendimiento con nuestro comprobador de velocidad de página gratuito.

Comience a probar ahoraComience de forma gratuita. Sin tarjeta de crédito de antemano.
×