Όσον αφορά το DNS, ο Cricket Liu έγραψε κυριολεκτικά το βιβλίο. Έχει συν-συγγραφεί και οι πέντε εκδόσεις του βιβλίου "DNS και BIND" του O'Reilly, το οποίο θεωρείται γενικά ως ο οριστικός οδηγός για όλα τα πράγματα που σχετίζονται με το Σύστημα Ονομάτων Χώρου. Ο κρίκετ είναι επί του παρόντος επικεφαλής της υποδομής στο Infoblox.
Το DNS είναι σαφώς ένα κρίσιμο στοιχείο της δικτύωσης υπολογιστών, αλλά υπάρχουν στιγμές που αυτά τα εργαλεία μπορούν να χρησιμοποιηθούν για κακή χρήση. Στο New Tech Forum αυτής της εβδομάδας, το Cricket ρίχνει μια ματιά στο αυξανόμενο πρόβλημα των επιθέσεων DDoS που βασίζονται σε DNS και τον τρόπο αντιμετώπισής τους. - Paul Venezia
Επιθέσεις DDoS που βασίζονται σε DNS: Πώς λειτουργούν και πώς να τις σταματήσουν
Το DDoS που βασίζεται σε DNS (κατανεμημένη επίθεση άρνησης υπηρεσίας) έχει γίνει μια από τις πιο κοινές καταστροφικές επιθέσεις στο Διαδίκτυο. Αλλά πώς λειτουργούν; Και τι μπορούμε να κάνουμε για να υπερασπιστούμε εναντίον τους;
Σε αυτό το άρθρο, θα περιγράψω πώς το DDoS επιτίθεται τόσο στην εκμετάλλευση όσο και στοχεύει την υποδομή DNS. Θα σας δείξω επίσης τι μπορείτε να κάνετε για να προστατέψετε τον εαυτό σας και τους άλλους.
Η μεγάλη πλαστογραφία
Η δημιουργία μιας επίθεσης DDoS χρησιμοποιώντας υποδομή DNS είναι εξαιρετικά απλή: Οι εισβολείς στέλνουν ερωτήματα σε διακομιστές ονομάτων στο Διαδίκτυο και αυτοί οι διακομιστές ονομάτων επιστρέφουν απαντήσεις. Αντί να στέλνουν τα ερωτήματα από τις δικές τους διευθύνσεις IP, ωστόσο, οι εισβολείς πλαστογραφούν τη διεύθυνση του στόχου τους - που θα μπορούσε να είναι ένας διακομιστής Web, ένας δρομολογητής, ένας άλλος διακομιστής ονομάτων ή σχεδόν οποιοσδήποτε κόμβος στο Διαδίκτυο.
Η πλαστογράφηση ερωτημάτων DNS είναι ιδιαίτερα εύκολη επειδή συνήθως μεταφέρονται μέσω του UDP (το πρωτόκολλο χρήστη χωρίς σύνδεση). Η αποστολή ερωτήματος DNS από αυθαίρετη διεύθυνση IP είναι εξίσου απλή και έχει σχεδόν το ίδιο αποτέλεσμα με τη σύνταξη της διεύθυνσης επιστροφής κάποιου άλλου σε μια κάρτα.
Ωστόσο, τα ερωτήματα πλαστογράφησης δεν αρκούν για την αδυναμία ενός στόχου. Εάν οι απαντήσεις σε αυτά τα ερωτήματα δεν ήταν μεγαλύτερα από τα ίδια τα ερωτήματα, ένας εισβολέας θα έκανε το ίδιο καλά για να πλημμυρίσει τον στόχο με πλαστά ερωτήματα. Όχι, για να μεγιστοποιηθεί η ζημιά στον στόχο, κάθε ερώτημα θα πρέπει να επιστρέψει μια πολύ μεγάλη απόκριση. Αποδεικνύεται ότι είναι πολύ εύκολο να υποκινήσει.
Από την έλευση του EDNS0, ένα σύνολο επεκτάσεων στο DNS που εισήχθη το 1999, τα μηνύματα DNS που βασίζονται σε UDP μπόρεσαν να μεταφέρουν πλήθος δεδομένων. Η απόκριση μπορεί να είναι έως και 4.096 byte. Τα περισσότερα ερωτήματα, από την άλλη πλευρά, έχουν μήκος μικρότερο από 100 byte.
Κάποτε, ήταν σχετικά δύσκολο να βρεις μια απάντηση τόσο μεγάλη στον χώρο ονομάτων του Διαδικτύου. Αλλά τώρα που οι οργανισμοί έχουν αρχίσει να αναπτύσσουν το DNSSEC, τις επεκτάσεις ασφαλείας DNS, είναι πολύ πιο εύκολο. Το DNSSEC αποθηκεύει κρυπτογραφικά κλειδιά και ψηφιακές υπογραφές σε εγγραφές στο χώρο ονομάτων. Αυτά είναι θετικά τεράστιος.
Μπορείτε να δείτε ένα παράδειγμα απόκρισης από τη ζώνη isc.org που περιέχει εγγραφές DNSSEC στο ιστολόγιό μου. Το μέγεθος της απόκρισης είναι 4.077 bytes, σε σύγκριση με ένα ερώτημα μόλις 44 bytes.
Τώρα, οι εισβολείς εικόνων από όλο το Διαδίκτυο στέλνουν αυτό το πλαστογραφημένο ερώτημα από τη διεύθυνση IP του διακομιστή Ιστού σας στους διακομιστές ονομάτων isc.org. Για κάθε ερώτημα 44 byte, ο διακομιστής Web λαμβάνει απόκριση 4.077 byte, με συντελεστή ενίσχυσης σχεδόν 93 φορές.
Ας κάνουμε έναν γρήγορο υπολογισμό για να καταλάβουμε πόσο κακό μπορεί να γίνει αυτό. Ας υποθέσουμε ότι κάθε εισβολέας έχει σχετικά μικρή σύνδεση 1Mbps στο Διαδίκτυο. Μπορεί να στείλει περίπου 2.840 ερωτήματα 44-byte σε αυτόν τον σύνδεσμο ανά δευτερόλεπτο. Αυτή η ροή ερωτημάτων θα είχε ως αποτέλεσμα σχεδόν 93Mbps απαντήσεις στον διακομιστή Web. Κάθε 11 εισβολείς αντιπροσωπεύουν 1Gbps.
Πού θα έβρισκαν αντικοινωνικοί εισβολείς 10 φίλους για να τους βοηθήσουν να πραγματοποιήσουν μια επίθεση; Στην πραγματικότητα, δεν χρειάζονται κανένα. Θα χρησιμοποιήσουν ένα botnet χιλιάδων υπολογιστών.
Το τελικό αποτέλεσμα είναι καταστροφικό. Στην τριμηνιαία παγκόσμια έκθεση επίθεσης DDoS, η Prolexic (μια εταιρεία μετριασμού DDoS) ανέφερε μια πρόσφατη επίθεση βάσει DNS εναντίον ενός πελάτη που έφτασε τα 167Gbps. Η Prolexic ανέφερε επίσης ότι το μέσο εύρος ζώνης επίθεσης DDoS ήταν 718% στα 48Gbps σε ένα μόνο τέταρτο.
Αλλά περίμενε! Δεν ήταν δυνατή η τροποποίηση των διακομιστών ονομάτων isc.org για να αναγνωριστεί ότι υποβάλλεται σε ερώτηση ξανά και ξανά για τα ίδια δεδομένα, από την ίδια διεύθυνση IP; Δεν μπορούσαν να καταστρέψουν την επίθεση;
Σίγουρα μπορούν. Αλλά οι διακομιστές ονομάτων isc.org δεν είναι οι μόνοι που μπορεί να χρησιμοποιήσει ένας εισβολέας για να ενισχύσει την κυκλοφορία του. Σίγουρα, υπάρχουν και άλλοι εξουσιοδοτημένοι διακομιστές ονομάτων που θα μπορούσε να χρησιμοποιήσει ο εισβολέας, αλλά ακόμη χειρότερα είναι ανοιχτοί διακομιστές αναδρομικών ονομάτων.
Ένας ανοιχτός αναδρομικός διακομιστής ονομάτων είναι απλώς ένας διακομιστής ονομάτων που θα επεξεργάζεται αναδρομικά ερωτήματα από οποιαδήποτε διεύθυνση IP. Μπορώ να το στείλω αυτό το ερώτημα για δεδομένα isc.org και θα μου απαντήσει και μπορείτε να κάνετε το ίδιο.
Δεν πρέπει να υπάρχουν πολλοί ανοιχτοί αναδρομικοί διακομιστές ονομάτων στο Διαδίκτυο. Η αναδρομική λειτουργία του διακομιστή ονομάτων είναι η αναζήτηση δεδομένων στον χώρο ονομάτων του Διαδικτύου για λογαριασμό πελατών DNS, όπως αυτά του φορητού υπολογιστή ή του smartphone σας. Οι διαχειριστές δικτύου που δημιουργούν αναδρομικούς διακομιστές ονομάτων (όπως το τμήμα πληροφορικής σας) συνήθως τους σκοπεύουν να χρησιμοποιηθούν από μια συγκεκριμένη κοινότητα (για παράδειγμα, εσείς και οι συνεργάτες σας). Εκτός αν εκτελούν υπηρεσίες όπως το OpenDNS ή το Google Public DNS, δεν εννοούν τη χρήση τους από τους πολίτες της Μολδαβίας. Τόσο το κοινό, το μυαλό της ασφάλειας, και το πιο ιδιαίτερα ικανός Οι διαχειριστές διαμορφώνουν τα στοιχεία ελέγχου πρόσβασης στους αναδρομικούς διακομιστές ονομάτων τους για να περιορίσουν τη χρήση τους σε εξουσιοδοτημένα συστήματα.
Δεδομένου ότι, πόσο μεγάλο πρόβλημα θα μπορούσε να ανοίξει αναδρομικοί διακομιστές ονομάτων; Αρκετά μεγάλο. Το Open Resolver Project έχει συλλέξει μια λίστα με 33 εκατομμύρια ανοίξτε αναδρομικούς διακομιστές ονομάτων. Οι χάκερ μπορούν να ενεργοποιήσουν πλαστογραφημένα ερωτήματα σε όσα από αυτά θέλουν να εκπέμψουν δεδομένα isc.org στον διακομιστή Ιστού, τον διακομιστή ονομάτων ή τον δρομολογητή περιγράμματος έως ότου πνιγεί.
Έτσι λειτουργούν οι επιθέσεις DDoS που βασίζονται σε DNS. Ευτυχώς, έχουμε μερικούς τρόπους για την καταπολέμησή τους.
Πώς να ξεπεράσετε την καταιγίδα
Η πρώτη παραγγελία της επιχείρησης είναι η δημιουργία της υποδομής DNS σας, οπότε θα ξέρετε πότε δέχεστε επίθεση. Πάρα πολλοί οργανισμοί δεν έχουν ιδέα τι είναι το φορτίο των ερωτημάτων τους, οπότε δεν θα ξέρουν ποτέ εάν δέχτηκαν επίθεση κατά πρώτο λόγο.
Ο προσδιορισμός της φόρτωσης του ερωτήματος σας μπορεί να είναι τόσο απλός όσο η χρήση της ενσωματωμένης υποστήριξης στατιστικών στοιχείων της BIND. Ο διακομιστής ονομάτων BIND θα απομακρύνει δεδομένα στο αρχείο στατιστικών του όταν εκτελείτε στατιστικά rndc,για παράδειγμα, ή σε διαμορφώσιμο διάστημα στατιστικών. Μπορείτε να εξετάσετε τα στατιστικά στοιχεία για το ρυθμό ερωτήματος, τα σφάλματα υποδοχής και άλλες ενδείξεις επίθεσης. Μην ανησυχείτε αν δεν είστε σίγουροι πώς θα μοιάζει μια επίθεση - μέρος του στόχου της παρακολούθησης του DNS είναι να δημιουργήσετε μια γραμμή βάσης, ώστε να μπορείτε να προσδιορίσετε τι είναι ασυνήθιστο.
Στη συνέχεια, ρίξτε μια ματιά στην υποδομή που βλέπει στο Διαδίκτυο. Μην περιορίζεστε στους εξωτερικούς σας εξουσιοδοτημένους διακομιστές ονομάτων. εξετάστε την υποδομή του διακόπτη και του δρομολογητή σας, τα τείχη προστασίας και τις συνδέσεις σας στο Διαδίκτυο. Προσδιορίστε τυχόν σημεία αποτυχίας. Προσδιορίστε εάν μπορείτε εύκολα (και οικονομικά) να τα εξαλείψετε.
Εάν είναι δυνατόν, εξετάστε την ευρεία γεωγραφική κατανομή των εξωτερικών εξουσιοδοτημένων διακομιστών ονομάτων σας. Αυτό βοηθά στην αποφυγή μεμονωμένων σημείων αποτυχίας, φυσικά, αλλά βοηθά επίσης όταν δεν δέχεστε επίθεση. Ένας αναδρομικός διακομιστής ονομάτων που επιλύει ένα όνομα τομέα σε μία από τις ζώνες σας θα προσπαθήσει να υποβάλει ερώτημα στον εξουσιοδοτημένο διακομιστή ονομάτων που βρίσκεται πλησιέστερα σε αυτόν, οπότε η γεωγραφική κατανομή τείνει να παρέχει καλύτερη απόδοση στους πελάτες και τους ανταποκριτές σας. Εάν οι πελάτες σας συγκεντρώνονται σε συγκεκριμένες γεωγραφικές περιοχές, προσπαθήστε να τοποθετήσετε έναν εξουσιοδοτημένο διακομιστή ονομάτων κοντά τους για να δώσετε τις πιο γρήγορες απαντήσεις.
Ίσως ο πιο βασικός τρόπος για την καταπολέμηση των επιθέσεων DoS είναι η υπερπροσφορά της υποδομής σας. Τα καλά νέα είναι ότι η υπερπροσφορά των διακομιστών ονομάτων σας δεν είναι απαραίτητα ακριβή. ένας ικανός διακομιστής ονόματος μπορεί να χειριστεί δεκάδες ή ακόμα και εκατοντάδες χιλιάδες ερωτήματα ανά δευτερόλεπτο. Δεν είστε σίγουροι ποια είναι η χωρητικότητα των διακομιστών ονομάτων σας; Μπορείτε να χρησιμοποιήσετε εργαλεία ερωτημάτων όπως το dnsperf για να ελέγξετε την απόδοση των διακομιστών ονομάτων σας - κατά προτίμηση χρησιμοποιώντας μια δοκιμαστική πλατφόρμα παρόμοια με τους διακομιστές ονομάτων παραγωγής σας σε ένα εργαστήριο και όχι τους ίδιους τους διακομιστές παραγωγής.
Το να αποφασίσετε πόσο υπερβολική παροχή των διακομιστών ονομάτων σας είναι υποκειμενικό: Ποια είναι η διαδικτυακή σας παρουσία; Υπάρχουν άλλα στοιχεία της υποδομής σας που αντιμετωπίζουν το Διαδίκτυο που θα αποτύχουν πριν από τους διακομιστές ονομάτων; Προφανώς, είναι ανόητο να ξοδεύουμε χρήματα για την κατασκευή υποδομής DNS πρώτης κατηγορίας πίσω από έναν δρομολογητή περιγράμματος ή ένα τείχος προστασίας που θα αποτύχει πολύ πριν οι διακομιστές ονομάτων σας ακόμη και να ιδρώσουν.
Εάν τα χρήματα δεν είναι αντικείμενο, ίσως είναι χρήσιμο να γνωρίζετε ότι οι τελευταίες επιθέσεις DDoS κατά της υποδομής DNS μπορούν να υπερβούν τα 100Gbps.
Η χρήση του Anycast μπορεί επίσης να σας βοηθήσει να αντισταθείτε σε μια επίθεση DDoS. Το Anycast είναι μια τεχνική που επιτρέπει σε πολλούς διακομιστές να μοιράζονται μία μόνο διεύθυνση IP και λειτουργεί ιδιαίτερα καλά με το DNS. Στην πραγματικότητα, οι διακομιστές root name του Διαδικτύου χρησιμοποιούν το Anycast εδώ και χρόνια για να παρέχουν δεδομένα ριζικής ζώνης σε ολόκληρο τον κόσμο, επιτρέποντας παράλληλα στον κατάλογο ριζών να χωράει σε ένα μόνο μήνυμα DNS που βασίζεται σε UDP.
Για την ανάπτυξη του Anycast, οι κεντρικοί υπολογιστές που υποστηρίζουν τους διακομιστές ονομάτων σας θα πρέπει να εκτελέσουν ένα δυναμικό πρωτόκολλο δρομολόγησης, όπως το OSPF ή το BGP. Η διαδικασία δρομολόγησης θα διαφημίσει στους γειτονικούς της δρομολογητές μια διαδρομή προς μια νέα, εικονική διεύθυνση IP στην οποία ακούει ο διακομιστής ονομάτων σας. Η διαδικασία δρομολόγησης πρέπει επίσης να είναι αρκετά έξυπνη για να σταματήσει τη διαφήμιση αυτής της διαδρομής εάν ο τοπικός διακομιστής ονόματος σταματήσει να αποκρίνεται. Μπορείτε να κολλήσετε τον δαίμονα δρομολόγησης στην υγεία του διακομιστή ονομάτων σας χρησιμοποιώντας κωδικό της δικής σας κατασκευής - ή μπορείτε να αγοράσετε ένα προϊόν που το φροντίζει για εσάς. Το NIOS του Infoblox, όχι τυχαία, περιλαμβάνει υποστήριξη Anycast.
Πώς υπερασπίζεται η Anycast ενάντια σε επιθέσεις DDoS; Λοιπόν, ας υποθέσουμε ότι έχετε έξι εξωτερικούς διακομιστές ονομάτων σε δύο ομάδες Anycast (δηλαδή, τρεις που μοιράζονται μια διεύθυνση IP Anycast και τρεις που μοιράζονται μια άλλη). Κάθε ομάδα περιέχει ένα μέλος στις Ηνωμένες Πολιτείες, ένα στην Ευρώπη και ένα στην Ασία. Ένας κεντρικός υπολογιστής που επιτελεί μια επίθεση DDoS εναντίον σας μπορεί να στείλει μόνο κίνηση - και επομένως μόνο επίθεση - σε ένα μέλος κάθε ομάδας από οποιοδήποτε σημείο στο Διαδίκτυο κάθε φορά. Εάν οι εισβολείς δεν μπορούν να βρουν αρκετή κίνηση από τη Βόρεια Αμερική, την Ευρώπη και την Ασία ταυτόχρονα για να βάλουν την υποδομή σας, δεν θα πετύχουν.
Τέλος, υπάρχει ένας τρόπος που μπορείτε να επωφεληθείτε από την ευρεία γεωγραφική κατανομή και το Anycast ταυτόχρονα, χωρίς σημαντική δαπάνη κεφαλαίου: Χρησιμοποιήστε έναν παροχέα DNS που βασίζεται σε σύννεφο. Εταιρείες όπως η Dyn και η Neustar χρησιμοποιούν δικούς τους διακομιστές ονομάτων Anycast σε κέντρα δεδομένων σε όλο τον κόσμο. Τους πληρώνετε για να φιλοξενήσετε τις ζώνες σας και να απαντάτε σε ερωτήματα για τα δεδομένα σας. Και μπορείτε να συνεχίσετε να διατηρείτε τον άμεσο έλεγχο των δεδομένων της ζώνης σας ζητώντας από έναν πάροχο να διαμορφώσει τους διακομιστές ονομάτων του ως δευτερεύοντες για τις ζώνες σας, φορτώνοντας τα δεδομένα από έναν κύριο διακομιστή ονομάτων που ορίζετε και διαχειρίζεστε εσωτερικά. Απλά βεβαιωθείτε ότι έχετε εκτελέσει τον κύριο κρυφό (δηλαδή, χωρίς να δείχνει το αρχείο NS), ή διατρέχετε τον κίνδυνο ότι ένας εισβολέας θα το στοχεύσει ως ένα μόνο σημείο αποτυχίας.
Μια λέξη προειδοποίησης κατά τη χρήση παρόχων DNS που βασίζονται σε σύννεφο: Οι περισσότεροι χρεώνουν τουλάχιστον εν μέρει με βάση τον αριθμό των ερωτημάτων που λαμβάνουν οι διακομιστές ονομάτων τους για δεδομένα στις ζώνες σας. Σε μια επίθεση DDoS, αυτά τα ερωτήματα ενδέχεται να αυξηθούν δραματικά (εντελώς έξω από τον έλεγχό σας και καθόλου προς όφελός σας), οπότε βεβαιωθείτε ότι έχουν πρόβλεψη για την αντιμετώπιση επιθέσεων DDoS χωρίς να μετακυλίουν το κόστος της επισκεψιμότητας σε εσάς.
Πώς να αποφύγετε να γίνετε συνεργός σε επιθέσεις DDoS
Τώρα ξέρετε πώς να διαμορφώσετε την υποδομή DNS σας για να αντισταθείτε σε μια επίθεση DDoS. Είναι σχεδόν εξίσου σημαντικό, ωστόσο, να διασφαλιστεί ότι δεν συμμετέχετε σε μια επίθεση DDoS εναντίον κάποιου άλλου.
Θυμάστε την περιγραφή του τρόπου με τον οποίο οι διακομιστές DNS μπορούν να ενισχύσουν την κυκλοφορία; Οι εισβολείς μπορούν να χρησιμοποιήσουν τόσο ανοιχτούς αναδρομικούς διακομιστές ονομάτων όσο και έγκυρους διακομιστές ονομάτων ως ενισχυτές, στέλνοντας πλαστογραφημένα ερωτήματα που αναγκάζουν τους διακομιστές ονομάτων να στέλνουν απαντήσεις περισσότερες από 100 φορές μεγαλύτερη από το ερώτημα σε αυθαίρετους στόχους στο Διαδίκτυο. Τώρα, φυσικά, δεν θέλετε να είστε ο στόχος μιας τέτοιας επίθεσης, αλλά δεν θέλετε επίσης να είστε συνεργός. Η επίθεση χρησιμοποιεί τους πόρους των διακομιστών ονομάτων σας, καθώς και το εύρος ζώνης σας. Εάν ο στόχος λαμβάνει μέτρα για τον αποκλεισμό της επισκεψιμότητας από το διακομιστή ονομάτων σας στο δίκτυό του, τότε μετά το τέλος της επίθεσης, ο στόχος ενδέχεται να μην είναι σε θέση να επιλύσει τα ονόματα τομέα στις ζώνες σας.
Εάν εκτελείτε έναν ανοιχτό αναδρομικό διακομιστή ονομάτων, η λύση είναι απλή: Μην. Υπάρχουν πολύ λίγοι οργανισμοί που έχουν οποιαδήποτε δικαιολογία για την εκτέλεση ενός διακομιστή ονομάτων ανοιχτών σε αναδρομικά ερωτήματα. Το Google Public DNS και το OpenDNS είναι δύο που έρχονται στο μυαλό, αλλά αν το διαβάζετε, υποθέτω ότι πιθανώς δεν είστε αυτοί. Οι υπόλοιποι από εμάς θα πρέπει να εφαρμόζουν ελέγχους πρόσβασης στους αναδρομικούς διακομιστές ονομάτων μας για να βεβαιωθούμε ότι τα χρησιμοποιούν μόνο εξουσιοδοτημένοι ερωτητές. Αυτό πιθανότατα σημαίνει περιορισμό των ερωτημάτων DNS σε διευθύνσεις IP στα εσωτερικά μας δίκτυα, κάτι που είναι εύκολο να γίνει σε οποιαδήποτε εφαρμογή διακομιστή ονομάτων αξίζει τον κόπο. (Ο Microsoft DNS Server δεν υποστηρίζει στοιχεία ελέγχου πρόσβασης βάσει διευθύνσεων IP σε ερωτήματα. Διαβάστε τι θέλετε να κάνετε σε αυτό.)
Τι γίνεται όμως αν χρησιμοποιείτε έναν εξουσιοδοτημένο διακομιστή ονόματος; Προφανώς, δεν μπορείτε να περιορίσετε τις διευθύνσεις IP από τις οποίες θα αποδεχτείτε ερωτήματα - ή όχι πολύ, ούτως ή άλλως (μπορεί να αρνηθείτε ερωτήματα από προφανώς ψευδείς διευθύνσεις IP, όπως διευθύνσεις RFC 1918). Αλλά μπορείτε να περιορίσετε τις απαντήσεις.
Δύο "λευκά καπέλα" στο Διαδίκτυο από μακρού χρόνου, ο Paul Vixie και ο Vernon Schryver, πραγματοποίησαν επιθέσεις DDoS που χρησιμοποιούν εξουσιοδοτημένους διακομιστές ονομάτων για ενίσχυση εμφανίζουν συγκεκριμένα μοτίβα ερωτημάτων. Συγκεκριμένα, οι εισβολείς στέλνουν διακομιστές ονομάτων το ίδιο ερώτημα από την ίδια πλαστογραφημένη διεύθυνση IP (ή μπλοκ διευθύνσεων) ξανά και ξανά, ζητώντας τη μέγιστη ενίσχυση. Κανένας καλώς συμπεριφερόμενος αναδρομικός διακομιστής ονόματος δεν θα το έκανε. Θα είχε αποθηκεύσει προσωρινά την απάντηση και δεν θα ρωτούσε ξανά μέχρι να παρέλθει ο χρόνος για να ζήσουν οι δίσκοι στην απάντηση.
