Wat betreft de aangevallen partij, het gaat bij dit type aanvallen niet om het soort verkeer (het slachtoffer hoeft dus helemaal geen DNS-server o.i.d. te draaien), maar dat het zoveel is dat de maximale verbindingscapaciteit wordt overschreden.
Poorten dichtgooien heeft dus geen zin, het gaat er bij de aanval puur erom dat er bijvoorbeeld 10Gb/s wordt verstuurd terwijl jouw lijntje maar 8Gb/s trekt.
Wat betreft de servers die als
amplifier worden misbruikt, die kunnen wel wat doen:
An essential component of DNS amplification attacks is access to open DNS resolvers. By having poorly configured DNS resolvers exposed to the Internet, all an attacker needs to do to utilize a DNS resolver is to discover it. Ideally, DNS resolvers should only provide their services to devices that originate within a trusted domain. In the case of reflection based attacks, the open DNS resolvers will respond to queries from anywhere on the Internet, allowing the potential for exploitation. Restricting a DNS resolver so that it will only respond to queries from trusted sources makes the server a poor vehicle for any type of amplification attack.
Als laatste kunnen ook de internetproviders waarop zich de bots of aanvallende server bevinden wat doen, door pakketjes met een vervalste afzender te blokkeren.
Source IP verification – stop spoofed packets leaving network
Because the UDP requests being sent by the attacker’s botnet must have a source IP address spoofed to the victim’s IP address, a key component in reducing the effectiveness of UDP-based amplification attacks is for Internet service providers (ISPs) to reject any internal traffic with spoofed IP addresses. If a packet is being sent from inside the network with a source address that makes it appear like it originated outside the network, it’s likely a spoofed packet and can be dropped.
Helaas kan alleen de ISP waar het aanvalsverkeer oorspronkelijk vandaan komt dit doen, en nog lang niet alle ISPs hebben
BCP 38 geïmplementeerd.
Citaten van hier