Der anfälligste Teil von DNS, um einen böswilligen Benutzer anzugreifen, ist der rekursive Resolver .

Hier ist der Grund:

* Barrierefreiheit: Rekursive Resolver sind öffentlich zugänglich. Sie sind der Einstiegspunkt für die meisten Benutzer und Anwendungen, die Domainnamen auflösen möchten. Im Gegensatz zu maßgeblichen Namensservern (die die tatsächlichen DNS -Datensätze für eine Domäne enthalten) haben rekursive Resolver nicht das gleiche Maß an Sicherheitskontrollen oder Überwachung.

* Amplifikationangriffe: Rekursive Resolver können bei Verstärkungsangriffen wie DNS -Verstärkung und Reflexionsangriffen ausgenutzt werden. Diese Angriffe nutzen die Tendenz des Resolvers, große Antworten an kleine Fragen zu senden. Ein schädlicher Schauspieler kann viele Resolver eine gefälschte Anfrage senden und ein Opfer mit einer Flut von Antworten abzielen, die um ein Vielfaches größer sind als die anfängliche Anfrage, wodurch das Netzwerk des Opfers überwältigt wird.

* Cache -Vergiftung: Ein erfolgreicher Cache -Vergiftungsangriff manipuliert den Cache des rekursiven Resolvers, um falsche IP -Adressen für eine legitime Domäne zurückzugeben. Dies kann Benutzer auf böswillige Websites umleiten, ihre Daten abfangen oder ihre Systeme mit Malware infizieren. Da rekursive Resolver aus Leistungsgründen häufig die Ergebnisse durchführen, ist dies ein besonders starker Angriffsvektor.

* Schwachstelle Open Resolver: Viele rekursive Resolver sind mit offenem Zugriff konfiguriert, dh jeder kann ihnen Anfragen senden. Dies erweitert die Angriffsfläche dramatisch und ermöglicht es den Angreifern, verschiedene Angriffe leicht zu starten, ohne den Resolver selbst zu beeinträchtigen.

Während maßgebliche Server auch anfällig für Angriffe (z. B. Zonenübertragungen, Angriffe des Dienstes), die weit verbreitete Zugänglichkeit und inhärente Betriebsmerkmale rekursiver Resolvers für böswillige Nutzer machen. Die große und verteilte Natur von rekursiven Resolvers macht die Verteidigung gegen sie ebenfalls zu einer bedeutenden Herausforderung.