עודכן לפני חודש
תוקף שולח שאילתת DNS בת 60 בייט לשרת DNS. השרת שולח תשובה בת 4,000 בייט — אך לא לתוקף. למישהו אחר לגמרי. למישהו שמעולם לא ביקש.
הכפל זאת באלפי שרתים ומיליוני שאילתות, ויש לך הגברת DNS: דרך להפוך רוחב פס צנוע לשיטפון מציף. התוקף לוחש; הקורבן טובע בצעקות.
המכניקה של הגברה
הגברת DNS מנצלת שתי תכונות של אופן פעולת DNS.
ראשית, אסימטריה. שאילתות DNS קטנות, אך תשובות יכולות להיות עצומות. בקש את רשומות ה-TXT של דומיין — מדיניות SPF, מפתחות DKIM, מחרוזות אימות דומיין — ותקבל בחזרה 50 עד 100 פעמים יותר נתונים ממה ששלחת.
שנית, אמון עיוור. DNS פועל באופן מסורתי מעל UDP, שאינו מאמת מי באמת שואל. כשמגיעה שאילתה, השרת רואה כתובת IP מקור ומאמין לה. אם אותה כתובת זויפה — כדי להיות כתובת הקורבן — השרת נאמנה שולח את תשובתו הגדולה לקורבן.
התוקף לעולם אינו רואה את התשובה. הוא לא צריך. הוא המיר את רוחב הפס שלו לבעיה של הקורבן, מוכפלת דרך שרתים שמנסים להיות מועילים.
פותרים פתוחים: נשק בעל כורחו
המתקפה דורשת שרתי DNS שמוכנים לענות לשאילתות מכל מקום. אלה נקראים פותרים רקורסיביים פתוחים.
חלקם קיימים בכוונה — שירותי DNS ציבוריים כמו 8.8.8.8 של Google או 1.1.1.1 של Cloudflare. אך מאות אלפים נוספים קיימים במקרה: נתבי בית עם הגדרות ברירת מחדל, שרתי DNS ארגוניים שמעולם לא ננעלו, תשתית שנשכחה ועדיין פועלת בשקט במרכזי נתונים.
הפותר מנסה להיות מועיל. הוא מקבל שאלה, הוא שולח תשובה. אין לו כל דרך לדעת שהמועילות שלו מנוצלת לרעה — שה"שואל" הוא שקר וה"תשובה" היא נשק.
האופי המבוזר הזה מקשה עד מאד לעצור את המתקפה במקורה. אין שרת בודד לאבטח, אין ארגון בודד לפנות אליו. המגברים מפוזרים ברחבי הגלובוס, בבעלות אלפי ישויות שונות, ורובן אינן מודעות להשתתפותן.
מדוע DNS חשוף במיוחד
UDP הוא הבעיה המרכזית. בניגוד ל-TCP, שדורש לחיצת יד לפני שנתונים זורמים — מה שמוכיח שאתה יכול אכן לקבל תשובות בכתובת שאתה טוען — UDP פשוט שולח. לשרת אין כל דרך לאמת שכתובת המקור אמיתית.
זה היה הגיוני כשנוצר DNS. האינטרנט היה קטן יותר, מהימן יותר, והתקורה של TCP נראתה מיותרת לחיפושים פשוטים. אך מודל האמון הזה אינו שורד מגע עם יריבים.
DNS גם ממקסם זמינות כעיקרון עיצובי. פותרים עונים לשאילתות מכל מקום כי זה מה שגורם למערכת לעבוד בצורה חלקה. הגבלת גישה דורשת תצורה מפורשת, ומפעילים רבים לעולם לא טורחים בכך — או אינם מבינים שהשרתים שלהם חשופים.
היקף המתקפות המודרניות
באוקטובר 2024, Cloudflare חסמה מתקפת DDoS של 5.6 Tbps — בזמנה, הגדולה שנרשמה אי פעם. באמצע 2025 נשבר שיא זה: 7.3 Tbps. מתקפות העולות על 1 Tbps מתרחשות כיום מדי יום.
בהיקף זה, אתה לא תוקף שרת. אתה תוקף צינור. חיבור האינטרנט של הקורבן עצמו הופך לצוואר הבקבוק, רווי בתנועה עד כי בקשות לגיטימיות אינן יכולות לחדור.
הכלכלה מעדיפה את התוקפים באופן קיצוני. כמה מאות דולרים משכירים מספיק קיבולת בוטנט כדי לייצר תנועה שיעלה מיליונים לספוג. מתקפות אלה שיבשו מוסדות פיננסיים, שירותי אינטרנט מרכזיים ותשתיות קריטיות. הן משמשות לסחיטה, חבלה תחרותית ופעולות מדינות.
הגברת DNS היוותה 55% מכלל תנועת המתקפות המוגברת בשנת 2024 — ירידה מ-88% בשנת 2023, כאשר תוקפים מגוונים לפרוטוקולים אחרים, אך עדיין הווקטור הדומיננטי.
כיצד עובדת ההגנה
ההגנה הבסיסית ביותר אינה מתרחשת אצל הקורבן — היא מתרחשת במקור. BCP38, הנקרא גם סינון כניסה, מחייב ספקי אינטרנט לאמת שתנועה מלקוחותיהם נושאת כתובות מקור לגיטימיות. אם אתה טוען לשלוח מ-IP שאינו שייך לך, ספק האינטרנט שלך מוחק את החבילה.
לו כל ספק אינטרנט יישם BCP38, מתקפות הגברה היו נעלמות למעשה. שאילתות מזויפות לעולם לא היו מגיעות לפותרים. אך האימוץ נותר חלקי — רשתות רבות מדי עדיין מאפשרות לתנועה מזויפת לעבור.
פותרים יכולים להגן על עצמם בעזרת הגבלת קצב תשובות (RRL). כאשר שרת רואה מאות שאילתות זהות לאותה רשומה, לכאורה מאותו מקור, הוא מצמצם את התשובות. התוקף מקבל תשואות פוחתות ככל שהפותרים מזהים את הדפוס.
קורבנות מגנים באמצעות ספיגה והפצה. שירותי ניקוי תנועה מסננים את תנועת המתקפה לפני שהיא מגיעה ליעד. ניתוב Anycast מפזר את התנועה הנכנסת על פני מיקומים גיאוגרפיים מרובים, כך שאף צינור בודד אינו נחנק. הקצאת יתר גדולה של רוחב פס מספקת מרחב נשימה — אם כי לא ניתן לרכוש כלכלית מספיק קיבולת לספיגת תוקף נחוש.
שיפורי פרוטוקול מסייעים בשולים. עוגיות DNS מאפשרות לפותרים לאמת שהשאילתות מגיעות ממקורות שמסוגלים לקבל תשובות. DNS over HTTPS ו-DNS over TLS מכניסים את דרישת החיבור של TCP, מה שמקשה על זיוף. אך שינויים אלה מתגלגלים לאט, ו-DNS מבוסס UDP הוותיק ימשיך להתקיים עוד שנים רבות.
מה ארגונים צריכים לעשות
התחל עם התשתית שלך עצמך. אם אתה מפעיל שרתי DNS, ודא שהם אינם פותרים פתוחים — הגבל שאילתות רקורסיביות ללקוחות מורשים בלבד. שרתי שמות סמכותיים שמפרסמים את רשומות הדומיין שלך אינם אמורים להציע רקורסיה לעולם.
יישם סינון יציאה ברשת שלך. אל תאפשר למערכות שלך לשלוח תנועה עם כתובות מקור מזויפות. אתה לא היעד — אך ייתכן שאתה משתתף שלא בדעתך במתקפות על אחרים.
עקוב אחר דפוסי תנועת DNS חריגים. עליות פתאומיות בשאילתות, במיוחד לרשומות שאינך מכיר, עשויות להצביע על כך שהתשתית שלך נסרקת או מנוצלת לרעה.
בנה קשרים עם ספק האינטרנט שלך וספקי הגנת DDoS לפני שתזדקק להם. כשמתקפה מתחילה, אתה רוצה ערוצים מבוססים ותוכניות תגובה מוסכמות מראש — לא פניות קרות.
תכנן את ארכיטקטורת ה-DNS שלך לחוסן: הפצת Anycast, יתירות גיאוגרפית, קיבולת מתאימה. המטרה אינה לעצור את המתקפה — אלא לשרוד אותה בזמן שתנועה לגיטימית ממשיכה לזרום.
שאלות נפוצות על מתקפות הגברת DNS
מדוע שרתי DNS אינם יכולים פשוט להתעלם משאילתות מזויפות?
הם אינם יכולים לדעת אילו שאילתות מזויפות. שאילתת DNS מעל UDP היא רק חבילה עם כתובת מקור — לשרת אין כל דרך לאמת שהשולח אכן קיים באותה כתובת מבלי להוסיף תקורה שתאט כל שאילתה לגיטימית. לכן BCP38 כל כך חשוב: הוא עוצר חבילות מזויפות ברמת הרשת לפני שהן מגיעות לשרתי DNS.
כיצד תוקפים מוצאים פותרים פתוחים לשימוש?
הם סורקים את האינטרנט. כלים יכולים לבדוק מיליוני כתובות IP כדי למצוא שרתים המגיבים לשאילתות DNS ממקורות שרירותיים. סריקות אלה פשוטות להפעלה, והתוצאות לעיתים קרובות משותפות או נמכרות. מאות אלפי פותרים פתוחים קיימים בכל רגע נתון.
האם DNSSEC יכול למנוע מתקפות הגברה?
לא — DNSSEC למעשה מחמיר אותן. DNSSEC מוסיף חתימות קריפטוגרפיות לתשובות DNS, מה שהופך אותן לגדולות יותר. זה מגדיל את מקדם ההגברה. DNSSEC פותר בעיה שונה לגמרי — אותנטיות של תשובות — ולא את פגיעות ההגברה.
מה ההבדל בין הגברה לבין השתקפות?
השתקפות היא ההפנייה — שליחת תשובות לקורבן שלא ביקש. הגברה היא הכפלה — קבלת יותר תנועה ממה ששלחת. מתקפות הגברת DNS משתמשות בשתיהן: הן משקפות תשובות לקורבנות ומגבירות את נפח התנועה דרך האסימטריה בין שאילתה לתשובה.
מקורות
האם דף זה היה מועיל?