Методы / Amplification / DNS
AmplificationAmplificationReflectionUDPSpoofable

DNS стресс-тест

Превращает небольшие DNS-запросы с подменённым источником в завышенные ответы, отражённые от открытых резолверов, подтверждая, способен ли ваш периметр поглотить один из самых объёмных векторов усиления в интернете.

Запустить тест DNS Все методы
up to 54x
коэффициент усиления

Как это работает

DNS работает поверх UDP на порту 53, и открытые рекурсивные резолверы отвечают на запросы пакетами, многократно превышающими запрос, особенно для типов записей ANY или крупных. Подмена адреса-источника на вашу тестовую цель заставляет эти отражённые ответы накапливаться на вашей инфраструктуре, превращая скромное исходящее усилие в тяжёлый входящий флуд. Это упражнение проверяет ёмкость вышестоящей очистки трафика, готовность к защите от подмены и то, насколько чисто ваша сеть сбрасывает отражённый UDP без сопутствующего влияния на легитимный трафик DNS.

Параметры

pps600k ppsСкорость запросов, направляемых на пул резолверов
duration10-600 sДлительность непрерывного прогона отражения
reflectors500-10k hostsШирота пула открытых резолверов как источников
amp_factor28x-54xТестируемое отношение размера ответа к запросу

Запустите из CLI

retro-cli
$ retro run dns --target 203.0.113.45 --duration 120

FAQ по DNS

Почему усиление DNS так эффективно?+
Короткий запрос с подменённым источником может вытянуть ответ, в десятки раз больший, поэтому скромная скорость источника превращается в гораздо более тяжёлый флуд на отражённой цели. Именно высокий коэффициент усиления делает его одним из самых упоминаемых объёмных векторов.
Что доказывает запуск этого теста?+
Он показывает, способны ли ваш периметр и вышестоящая очистка трафика поглотить отражённый UDP/53 в масштабе, и выживает ли легитимное разрешение DNS, пока флуд митигируется.
Атакует ли это сами резолверы?+
Нет. При авторизованном тестировании отражённый объём направляется на инфраструктуру, которой вы владеете. Смысл в том, чтобы проверить ваши собственные средства поглощения и защиты от подмены, а не нарушить работу сторонних резолверов.