Na een hausse aan DNS-amplificatie-aanvallen en daarna NTP-amplificatie-aanvallen maken cybersnoodaards misbruik van alweer een nieuwe methode om servers plat te krijgen: de unieke query-aanval. Daarover schrijft de Nederlandse security-onderzoeker met de alias DNSSmurf.

De aanval wordt mogelijk vanuit een botnet geïnitieerd en genereert een constante stroom aan 'valse' DNS-queries aan open resolvers. Normaliter handelen resolvers de meeste queries zelf af omdat ze het DNS 'adresboek' in de cache hebben. Wordt er een vraag gesteld waar ze het antwoord niet op weten, dan wordt deze vraag doorgestuurd naar een Authoritative Name Server.

Random subdomein strings

Dit mechanisme wordt nu misbruikt door het genereren van duizenden valse maar unieke queries met niet-bestaande subdomeinen van één domein. Elke query wordt zodoende doorgestuurd naar één authoritative server, die al snel overbelast raakt.

DNSSurf constateert dat deze aanvallen, die zich vooralsnog lijken te richten op Chinese doelwitten, door het slachtoffer moeilijk zijn te blokkeren.