Амплификация атаки — усиление DDoS-атаки при помощи различных алгоритмов.
Этот вид атак использует специфику работы DNS служб в сети Интернет. Суть атаки такая: происходит запрос у публичного DNS-сервера данных о домене и направление его ответа на атакуемый сервер. При реализации данного вида атаки злоумышленник формирует запрос, в ответ на который DNS-сервер возвращает как можно больше данных. Например, запрос списка всех DNS-записей в определенной зоне. Так как в протоколе UDP не осуществляется проверка IP-адресов источника, злоумышленник генерирует запросы от имени сервера-жертвы, указывая его IP-адрес в поле исходящего адреса.
Основной целью злоумышленника является заполнение канала сервера-жертвы объемными ответами от публичных DNS-серверов. Так, используя всего несколько ботов для генерации запросов к публичным DNS-серверам, злоумышленник может увеличить поток генерируемого «мусорного» трафика до 100 раз. При этом вычислить злоумышленника или хотя бы IP-адреса генераторов запросов почти невозможно, потому что реальный исходящий IP-адрес всегда заменяется на другой.
Раcсмотрим данный термин на примере амплификации DNS-атаки. Алгоритм поражения жертвы следующий:
1. Атакующий посылает сигнал ботам на начало цикла запросов к DNS.
2. Все зомби-компьютеры начинают выполнять запросы каждый к своему DNS-серверу с поддельным обратным IP-адресом, который указывает на компьютер жертвы.
3. В результате пакет с IP-адресом для веб-сервера должен быть доставлен клиенту ботнета, но на самом деле его «усиленный» вариант будет отправлен на ранее подделанный IP-адрес жертвы.