Hallo Zusammen,
grundsätzlich ist mir klar, wie die DNS Amplification Attack funktioniert. Der Wikipedia Artikel (https://de.wikipedia.org/wiki/DNS_Amplification_Attack) , sowie auch diverse andere Artikel, beschreiben das ganz gut. Jedoch ist mir eine Sache nicht ganz klar:
Die Clients des Angreifers senden ihre DNS-Requests (Any-Record) an einen Resolver. Allerdings mit der gespooften IP-Adresse des Opfer Servers. Bei einer großen Flut von Antworten geht der Opfer-Server in die Knie (DDOS). Theoretisch müsste aber doch der Opfer-Server die ganzen Antworten sofort verwerfen? Er hat ja nie danach gefragt. Der Resolver sendet seine UDP-Antwort Pakete zwar an die IP-Adresse des Opfers, jedoch doch an die UDP-Quellports, welche die Clients des Angreifers für den Request verwendet haben. Pakete an jene Ports, wie gesagt, müssten meinem Verständnis nach, vom Opfer-Server sofort verworfen werden und von daher nicht sonderlich schädlich sein.
Wer kann mir das erklären?