Un attacco di amplificazione DNS è un attacco DDos (Distributed Denial of Service) basato sulla riflessione.
L'autore dell'attacco falsifica le richieste di ricerca ai server DNS (Domain Name System) per nascondere l'origine dell'exploit e indirizzare la risposta alla destinazione. Attraverso varie tecniche, l'attaccante trasforma una piccola query DNS in un payload molto più grande diretto alla rete di destinazione.
L'autore dell'attacco invia una richiesta di ricerca DNS utilizzando l'indirizzo IP contraffatto della destinazione ai server DNS vulnerabili. Più comunemente, si tratta di server DNS che supportano l'inoltro ricorsivo aperto. La richiesta originale viene spesso inoltrata tramite una botnet per una base di attacco più ampia e un ulteriore occultamento. La richiesta DNS viene inviata utilizzando l'estensione EDNS0 al protocollo DNS che consente messaggi DNS di grandi dimensioni. Può anche utilizzare la funzionalità di crittografia dell'estensione di sicurezza DNS (DNSSEC) per aumentare la dimensione del messaggio.
Queste amplificazioni possono aumentare la dimensione delle richieste da circa 40 byte al di sopra della dimensione massima del pacchetto Ethernet di 4000 byte. Ciò richiede che vengano suddivisi per la trasmissione e quindi riassemblati, richiedendo ulteriori risorse di rete di destinazione. Le numerose richieste amplificate di una botnet consentono a un utente malintenzionato di dirigere un attacco di grandi dimensioni con un utilizzo minimo della larghezza di banda in uscita. È difficile proteggersi dall'attacco in quanto proviene da server dall'aspetto valido con traffico dall'aspetto valido.
L'amplificazione DNS è uno dei tipi di attacco più diffusi. Nel marzo 2013, il metodo è stato utilizzato per prendere di mira Spamhaus probabilmente da un fornitore di malware la cui attività l'organizzazione era stata interrotta dalla lista nera. L'anonimato dell'attacco era tale che Spamhaus non è ancora sicuro della fonte. Inoltre, l'attacco è stato così grave da paralizzare temporaneamente e quasi far crollare Internet.
I metodi proposti per prevenire o mitigare l'impatto degli attacchi di amplificazione DNS includono la limitazione della velocità, il blocco di server DNS specifici o di tutti i server di inoltro ricorsivi aperti e il rafforzamento della sicurezza del server DNS in generale.