¿Qué es el DNS amplification?

El DNS Amplification (también conocido como ataque de reflexión DNS) es un tipo de ataque de denegación de servicio distribuido (DDoS) especialmente potente, que explota la forma en que los servidores DNS responden a las consultas.

Cómo funciona el ataque

El atacante envía una pequeña consulta DNS a un servidor DNS vulnerable (denominado open resolver), falsificando la dirección IP de origen para que coincida con la de la víctima.
El servidor DNS responde entonces con un paquete mucho mayor — a menudo entre 50 y 100 veces más grande que la solicitud original.

Como resultado, el servidor o la red de la víctima se ven inundados por este tráfico amplificado, lo que satura rápidamente el ancho de banda y hace que el servicio quede inaccesible.

El ataque es especialmente efectivo contra servidores DNS mal configurados que permiten consultas recursivas desde cualquier origen en internet.

Cómo protegerte del DNS Amplification

1. Usar nuestros servidores DNS (recomendado)
   Recomendamos encarecidamente delegar tus dominios en los servidores NS de Fornex.
   Están distribuidos en varias ubicaciones geográficas, protegidos frente a ataques de amplificación y diseñados para soportar cargas elevadas.

2. Si gestionas tu propio servidor DNS:

   • Mantén el software DNS siempre actualizado.
   • Deshabilita la recursión para clientes externos (permítela solo en redes de confianza).
   • Activa el Response Rate Limiting (RRL).
   • Restringe las respuestas salientes a los tipos de registros estrictamente necesarios.

Por qué es importante

El DNS Amplification sigue siendo uno de los vectores de ataque DDoS más sencillos y efectivos. Un único servidor DNS mal configurado puede convertirse en un arma poderosa contra otros objetivos.

Al usar nuestros servidores de nombres, tu infraestructura ya está protegida frente a este tipo de ataque a nivel de proveedor.