Metody / Amplification / DNS
AmplificationAmplificationReflectionUDPSpoofable

DNS test obciążeniowy

Zamienia małe sfałszowane zapytania DNS w nadmiarowe odpowiedzi odbite od otwartych resolwerów, weryfikując, czy Twój brzeg sieci potrafi pochłonąć jeden z najbardziej wolumetrycznych wektorów amplifikacji w internecie.

Uruchom test DNS Wszystkie metody
up to 54x
współczynnik amplifikacji

Jak to działa

DNS działa po UDP na porcie 53, a otwarte resolwery rekurencyjne odpowiadają na zapytania odpowiedziami wielokrotnie większymi od żądania, zwłaszcza dla typów ANY lub dużych rekordów. Fałszowanie adresu źródłowego na Twój cel testowy sprawia, że te odbite odpowiedzi gromadzą się na Twojej infrastrukturze, zamieniając skromny wysiłek wychodzący w ciężką powódź przychodzącą. To ćwiczenie weryfikuje pojemność czyszczenia ruchu wyżej w sieci, postawę anty-fałszowania oraz to, jak czysto Twoja sieć zrzuca odbity UDP bez ubocznego wpływu na prawidłowy ruch DNS.

Parametry

pps600k ppsTempo zapytań skierowane na pulę resolwerów
duration10-600 sDługość trwałego przebiegu refleksji
reflectors500-10k hostsSzerokość puli źródeł otwartych resolwerów
amp_factor28x-54xTestowany stosunek rozmiaru odpowiedzi do zapytania

Uruchom z CLI

retro-cli
$ retro run dns --target 203.0.113.45 --duration 120

FAQ DNS

Dlaczego amplifikacja DNS jest tak skuteczna?+
Krótkie sfałszowane zapytanie może ściągnąć odpowiedź dziesiątki razy większą, więc skromne tempo źródła staje się znacznie cięższą powodzią u odbitego celu. To wysoki współczynnik amplifikacji czyni z niego jeden z najczęściej wymienianych wektorów wolumetrycznych.
Co udowadnia uruchomienie tego testu?+
Pokazuje, czy Twój brzeg sieci i czyszczenie ruchu wyżej w sieci potrafią pochłonąć odbity UDP/53 na dużą skalę oraz czy prawidłowe rozwiązywanie DNS przetrwa, podczas gdy powódź jest mitygowana.
Czy ten atak uderza w same resolwery?+
Nie. W autoryzowanym testowaniu odbity wolumen jest kierowany na infrastrukturę, którą posiadasz. Celem jest zweryfikowanie własnego pochłaniania i kontroli anty-fałszowania, a nie zakłócanie zewnętrznych resolwerów.