Servicepipe, российский разработчик решений для анализа и фильтрации нежелательного трафика, выявил, что за первые десять месяцев 2025 года на 30% вырос спрос на резервные (вторичные) DNS-серверы в сравнении с аналогичным периодом прошлого года.
Это напрямую связано с резким ростом числа инцидентов, направленных на работу DNS — если в начале года такие атаки происходили в среднем раз в месяц, то сегодня компания отражает в среднем 3-4 атаки в неделю.
В компании отмечают, что чаще всего фиксируются два сценария угроз:
- Subdomain flood. Злоумышленник массово отправляет запросы на разрешение несуществующих поддоменов целевого домена (например: tEsT.qUEry.ServicePipe.Ru и тысячи вариаций). Это заставляет DNS-сервер выполнять бесполезную работу, расходуя ресурсы — в результате возможен отказ в обслуживании (DoS). Такие боты обычно не устанавливают сессий (stateless) и просто генерируют поток UDP-пакетов.
- DNS amplification (усиление с помощью DNS). Атака, при которой злоумышленник посылает короткий запрос к открытым рекурсивным DNS-резолверам с подделанным адресом отправителя (адрес жертвы). В ответ резолверы шлют намного больший по объему ответ — трафик «усиливается» и обрушивается на жертву. Часто используются специальные типы записей (например, TXT) для увеличения объема ответа — откуда и термин TXT-flood.
Subdomain flood является относительно новой киберугрозой, и именно атаки такого типа набирают популярность в 2025 году. DNS amplification — это относительно старая киберугроза, однако, подобные атаки все еще встречаются.
«DNS — это один из старейших протоколов интернета. Он изначально проектировался как открытый протокол, — указывает менеджер продукта Secure DNS Hosting компании Servicepipe Светлана Пахалуева. — И сейчас DNS остается одной из самых уязвимых точек инфраструктуры: атакующие эксплуатируют саму логику протокола».
Базовые средства защиты не всегда помогают, поскольку атаки типа Subdomain flood эксплуатируют поведение самого протокола и нацелены не на содержимое зоны, а на ресурсы сервера — обычные брандмауэры и простые фильтры отчасти бессильны. Уязвимости реализации DNS (например, в популярных серверах) позволяют атакующим выполнять более сложные операции — для смягчения нужны специальные функции и обновления.
При этом атаки на DNS все чаще встречаются в многовекторных ковровых атаках, под которыми порой «ложатся» даже крупнейшие игроки, имеющие защиту от DDoS. В связи с этим все больше компаний выбирают резервный (вторичный) DNS, защищенный от DDoS-атак, чтобы в случае атак на основной канал иметь запасной. Secondary/резервный DNS — копия зоны, размещенная отдельно (у другого провайдера). Если основной сервер выходит из строя (из-за атаки, сбоя хостинга или ошибок конфигурации), резервный защищенный DNS продолжает обслуживать запросы и держит сайт/почту доступными.
«Подключение защищенного резервного DNS хостинга — бюджетная и эффективная мера повышения устойчивости», — отмечает Светлана Пахалуева.
