Servicepipe зафиксировал рост спроса на резервные DNS на фоне участившихся атак на DNS-инфраструктуру

Компания Servicepipe, российский разработчик решений для анализа и фильтрации нежелательного трафика, выявила, что за первые десять месяцев 2025 года на 30% вырос спрос на резервные (вторичные) DNS‑серверы по сравнению с аналогичным периодом прошлого года. Это напрямую связано с резким ростом числа инцидентов, направленных на работу DNS — если в начале 2025 года такие атаки происходили в среднем раз в месяц, то сегодня компания отражает в среднем 3–4 атаки в неделю.

В компании отмечают, что чаще всего фиксируются два сценария угроз. Subdomain flood. Злоумышленник массово отправляет запросы на разрешение несуществующих поддоменов целевого домена (например, tEsT.qUEry.ServicePipe.Ru и тысячи вариаций). Это заставляет DNS‑сервер выполнять бесполезную работу, расходуя ресурсы — в результате возможен отказ в обслуживании (DoS). Такие боты обычно не устанавливают сессий (stateless) и просто генерируют поток UDP‑пакетов.

DNS amplification (усиление с помощью DNS). Атака, при которой злоумышленник посылает короткий запрос к открытым рекурсивным DNS‑резолверам с подделанным адресом отправителя (адрес жертвы). В ответ резолверы шлют намного больший по объёму ответ — трафик «усиливается» и обрушивается на жертву. Часто используются специальные типы записей (например, TXT) для увеличения объёма ответа — откуда и термин TXT‑flood. Subdomain flood является относительно новой киберугрозой и именно атаки такого типа набирают популярность в 2025 году. DNS amplification — это относительно старая киберугроза, однако подобные атаки все еще встречаются эпизодически.

«DNS — это один из старейших протоколов интернета. Он изначально проектировался как открытый протокол, — указывает менеджер продукта Secure DNS Hosting компании Servicepipe Светлана Пахалуева. — И сейчас DNS остаётся одной из самых уязвимых точек инфраструктуры: атакующие эксплуатируют саму логику протокола».

Базовые средства защиты не всегда помогают, поскольку атаки типа Subdomain flood эксплуатируют поведение самого протокола и нацелены не на содержимое зоны, а на ресурсы сервера — обычные брандмауэры и простые фильтры отчасти бессильны. Уязвимости реализации DNS (например, в популярных серверах) позволяют атакующим выполнять более сложные операции — для смягчения нужны специальные функции и обновления.

При этом атаки на DNS все чаще встречаются в многовекторных ковровых атаках, под которыми порой «ложатся» даже крупнейшие игроки, имеющие защиту от DDoS. В связи с этим все больше компаний выбирают резервный (вторичный) DNS, защищённый от DDoS-атак, чтобы в случае атак на основной канал иметь запасной. Secondary / резервный DNS — копия зоны, размещенная отдельно (у другого провайдера). Если основной сервер выходит из строя (из‑за атаки, сбоя хостинга или ошибок конфигурации), резервный защищённый DNS продолжает обслуживать запросы и держит сайт/почту доступными.

«Подключение защищённого резервного DNS хостинга — бюджетная и эффективная мера повышения устойчивости», — указывает Светлана Пахалуева.