DNSCrypt中的洪水攻击

Question

为了减少反射放大攻击，DNSCrypt似乎强制执行响应比要在TCP上重新传输的查询更大的查询。此功能将减少放大攻击。

然而，DNSCrypt解析器是否仍然容易被伪造的IP地址淹没攻击？当我检查DN氪tool工具时，从一开始就没有必要获取和验证证书。客户端只需进行加密查询(使用解析器的公钥)并将其发送到解析器，解析器就会回复。因此，攻击者只需使用不同的会话密钥生成不同的查询，并使用伪造的IP地址来DoS解析器！

因此，通过强制解析器遍历DNS层次结构来查找答案、对其进行加密并将其发送回客户端，从而扩展了解析器的资源。

Answer 1

互联网上的任何公共服务都可能被淹没。

但DNS放大攻击的关键是传统的DNS服务器和缓存可以用于DoS其他服务。

通过发送一个小查询，一个大得多的数据包被发送给受害者。这种不对称是DNS放大在进行攻击时如此有用的原因。对攻击者来说比对受害者便宜。

通过要求查询至少和响应一样大，使用DNS服务器进行这些攻击没有任何好处。

欺骗包可以直接发送给受害者；这样做更容易，效率更高。或者到常规DNS服务器，利用放大。

顺便说一句，整个DNS层次结构很少被遍历，因为响应总是被缓存。