Investigadores israelíes han descubierto un gran fallo que afecta al protocolo DNS y que permiten lanzar ataques DDoS masivos con muy pocos recursos. El ataque ha sido bautizado como NXNSAttack, que aprovecha un fallo en el mecanismo de delegación de las DNS que fuerza a los resolutores DNS a generar más solicitudes de DNS de las necesarias. Con ello, un atacante puede decidir qué web atacar para enviar esas solicitudes y hacer que un servicio se caiga.
Los investigadores han demostrado que el número de mensajes de DNS intercambiados en un proceso de resolución normal puede ser mucho más grande en la práctica. Esta ineficiencia puede generar un grave cuello de botella y puede usarse para llevar a cabo un ataque devastador tanto contra un resolutor recursivo de DNS como contra un servidor autoritativo.