С помощью ошибок, допущенных системными администраторами в настройках конфигурации и при управлении DNSSEC, злоумышленники могут пользоваться защищенными системами для того, чтобы проводить DDoS-атаки с отражением DNS.
В отчете, представленном Neustar, указано, что эксперты компании протестировали более 1300 защищенных с помощью DNSSEC доменов. 80% из них могут быть использованы для организации кибернападений. Каждый из этих доменов дает ответ на DNS-запрос ANY, предоставляющий все сведения о нем, включая MX-записи и IP-адреса. Ответ на запрос ANY содержит гораздо больше информации, чем простой запрос IP-адреса.
Как утверждают эксперты, в стандартных записях DNS находится гораздо меньше информации, чем в записях DNSSEC, так как в последних содержатся хеши цифровых подписей и сведения об обмене ключами. DNSSEC-серверы с неправильной конфигурацией могут усилить трафик DDoS-атаки в 29 раз. Эксперты отправили запрос из 80 байт и получили 2313 ответа. Самый большой по объему ответ (17377 байтов) пришел от защищенного сервера. Тесты проводились с помощью рекурсивных серверов, которые не находились под контролем Neustar.
Сложившаяся ситуация является следствием не ошибки, а предусмотренной функцией, так как системы, даже защищенные с помощью DNSSEC, должны давать ответы на запросы. Поэтому в данном случае эксперты советуют просто надлежащим образом осуществлять управление системами.