# DNS Amplification

O **DNS Amplification Attack** é um ataque de reflexão e amplificação volumétrico que explora o protocolo UDP e a infraestrutura do sistema de nomes de domínio (DNS) para inundar uma vítima com uma quantidade massiva de tráfego, tornando-a inacessível.

***

## **❓ O que é um Ataque de Amplificação?**

É um ataque onde o atacante envia um pequeno pedido para um serviço de terceiros (Refletor) forjando o IP da vítima. O serviço responde com um pacote muito maior (Amplificado) diretamente para a vítima.

* **Solicitação (Atacante):** 60 bytes.
* **Resposta (Vítima):** 3000-4000 bytes.
* **Ganho:** \~50 a 70 vezes o tráfego original.

***

## **🏗️ Mecanismo do Ataque**

1. **IP Spoofing:** O atacante envia uma consulta DNS para um resolvedor DNS aberto (Open Resolver), forjando o endereço IP de origem para o da vítima.
2. **Consulta Estratégica:** A consulta geralmente pede por registros grandes, como `ANY` ou registros `DNSSEC` de grandes domínios.
3. **Reflexão:** O servidor DNS processa o pedido e envia a resposta (que é muito maior que a pergunta) para o IP forjado (a Vítima).
4. **Inundação:** Com milhares de queries enviadas para centenas de Open Resolvers, a vítima recebe Terabits de tráfego por segundo.

***

## **⚡ O fator de Amplificação (EDNS0)**

O recurso **EDNS0 (Extension Mechanisms for DNS)** permite que pacotes DNS UDP sejam maiores que os 512 bytes padrão, podendo chegar a 4096 bytes. Isso aumentou drasticamente o potencial de estrago desses ataques.

***

## **🔧 Técnicas de Exploração**

### **Uso do Hping3 para Simulação**

```bash
# Simular uma query DNS forjando a origem
sudo hping3 --udp -p 53 -a <IP_VITIMA> --data "..." <IP_RESOLVER_OPEN>
```

### **Pesquisa de Open Resolvers**

Atacantes usam scanners como o **ZMap** para encontrar resolvedores DNS na internet que permitem consultas de qualquer IP (recursão aberta).

***

## **🛡️ Mitigação e Prevenção**

### **1. Para Administradores de Redes (Evitar ser o Refletor)**

* **Desabilitar Recursão Aberta:** Configure seus servidores DNS para responder apenas a consultas vindas da sua própria rede interna.
* **Response Rate Limiting (RRL):** Limite a velocidade com que seu servidor DNS envia respostas para o mesmo destino.

### **2. Para a Vítima (Sob Ataque)**

* **Anti-DDoS em Nuvem:** A única forma real de suportar um ataque de amplificação em escala de Terabits é usar serviços de proteção DDoS baseados em nuvem (Scrubbing Centers) que filtram o tráfego antes dele atingir o seu roteador.
* **Filtros BCP 38:** Provedores de internet devem implementar filtros que impeçam pacotes com IPs de origem falsificados de saírem de suas redes.

***

> Ataques de amplificação DNS são responsáveis pelas maiores quedas de serviços na história da internet devido ao seu altíssimo fator de ganho e uso de infraestrutura legítima.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://0xmorte.gitbook.io/bibliadopentestbr/tecnicas/rede-and-infraestrutura/dns/dns-amplification.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.