DNS放大攻击原理及解决方法
- 来源:香港创新互联
- 编辑:创新互联编辑部
- 时间:2019-01-25 15:11
- 阅读次
DNS放大是一种分布式拒绝服务(DDoS)攻击形式,攻击者利用域名系统(DNS)服务器中的漏,洞将利用少量的查询流量,来获得大量的返回流量负载,使用更大量的流量压倒目标服务器或网络,从而呈现服务器和它周围的基础设施无法进入。
DNS放大是一种反射攻击,它操纵公共可访问的域名系统,使它们充斥着大量UDP数据包。使用各种放大技术,犯罪者可以“膨胀”这些UDP数据包的大小,使攻击变得如此强大,甚至可以摧毁最强大的互联网基础设施。
一、DNS放大攻击原理描述
DNS放大和其他放大攻击一样,是一种反射攻击。在这种情况下,通过从DNS解析器向欺骗的IP地址引出响应来实现反射。所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。
在DNS放大攻击过程中,攻击者向打开的DNS解析程序发送一个具有伪造IP地址(受害者的)的DNS查询,提示其使用DNS响应回复该地址。由于发送了大量的假查询,并且有几个DNS解析程序同时回复,受害者的网络很容易被大量的DNS响应淹没。
放大反射攻击甚至更危险。“放大”是指引出与发送的原始分组请求不成比例的服务器响应。
为了放大DNS攻击,可以使用EDNS0 DNS协议扩展来发送每个DNS请求,该扩展允许大型DNS消息,或使用DNS安全扩展(DNSSEC)的加密功能来增加消息大小。还可以使用“ANY”类型的欺骗查询,其在单个请求中返回关于DNS区域的所有已知信息。
通过这些方法和其他方法,可以配置一个大约60字节的DNS请求消息,从而向目标服务器发出一个超过4000字节的响应消息——结果是70:1的放大系数。这将显著增加目标服务器接收的流量,并加快服务器资源耗尽的速度。
此外,DNS放大攻击通常通过一个或多个僵尸网络中继DNS请求- 大大增加了针对目标服务器或服务器的流量,并使跟踪攻击者的身份变得更加困难。
二、DNS放大攻击流程
-
1.网络攻击使用用损害端点将含有欺骗性网络ip的UDP数据包发送给DNS recursor。数据包上的欺骗地址指向受害者的真实性IP地址。
-
2.每个UDP数据包都向DNS解析器发出请求,一般会传递诸如“ANY”类似的参数,以便接收可能的更大响应。
-
3.在接到请求后,尝试通过响应提供帮助的DNS解析器会向欺骗的IP地址发送大量响应。
-
4.目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得不堪重负,导致拒绝服务。
三、DNS放大攻击解决方法
防止或减轻DNS放大攻击影响的常用方法包括加强DNS服务器安全性,阻止特定DNS服务器或所有开放的递归中继服务器以及速率限制。
但是,这些方法不会消除攻击源,也不会减少网络上的负载以及名称服务器和打开的递归服务器之间的切换。此外,阻止来自打开的递归服务器的所有流量可能会干扰合法的DNS通信尝试。举例来说,一些组织维护开放的递归服务器,以便移动工作人员可以从“可信”名称服务器解析。阻止来自这些服务器的流量可能会阻碍其访问。
本公司DDoS保护解决方案利用Anycast技术来平衡其全局高功率清理服务器网络中的攻击负载,其中流量经历深度数据包检测(DIP)过程,过滤掉恶意DDoS流量。
该服务支持按需过度配置和近乎无限的可扩展性,甚至可以处理最大的容量攻击。此外,DDoS保护可以通过BGP公告立即部署在任何网络基础设施之上,这使得机房成为所有传入流量的接收者。
部署后,公司网络可确保在客户端网络之外过滤DDoS流量,同时通过安全GRE隧道将所有干净流量转发到其最终目的地。
本公司有详细的防DDOS攻击解决方案,如有遇到攻击问题欢迎测试我公司防ddos攻击产品。
- 什么是DNS攻击,DNS的工作原理与防范介绍
09-21
- DDOS攻击是如何发生的,解决办法有哪些?
08-15
- 网站被DDOS攻击的解决方案
07-09
- 如何防止移动网络钓鱼攻击?
06-10
- 如何阻止DDoS攻击:防御DDoS攻击的6个技巧
04-02
- 如何保护您的网站免受黑客攻击的8个操作提示
03-28
- 通过流量清洗方式可以解决DDOS攻击吗?
03-25
- IP欺诈攻击的原理及防御方法
03-14
- NTP放大攻击原理及解决办法
02-02
- UDP FLOOD攻击原理及解决办法
01-25
- HTTP洪水攻击原理及防御介绍
01-31
- DNS放大攻击原理及解决方法
01-25
- nexusguard全球DDOS攻击防护平台介绍
11-29
- 如何保护隐藏网站服务器真实IP地址免受DDOS攻击
02-13
- DNS的攻击类型及DNS防御策略介绍
02-19
- 电子商务网站的4种安全提示
01-26