什么是DNS放大攻击?说通俗一点DNS放大攻击就是基于反射的体积分布式拒绝服务(DDoS)攻击,攻击者利用开放DNS解析器的功能来压倒目标服务器或网络,使其流量增加,从而使服务器和其周围的基础设施无法访问。那DNS放大攻击如何工作?我们如何缓解DNS放大攻击呢?
什 么是DNS放大攻击?说通俗一点DNS放大攻击就是基于反射的体积分布式拒绝服务(DDoS)攻击,攻击者利用开放DNS解析器的功能来压倒目标服务器或网络,使其流量增加,从而使服务器和其周围的基础设施无法访问。
DNS放大攻击如何工作?
所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。当许多请求之间的成本差异被放大时,由此产生的流量可能会破坏网络基础架构。通过发送小的查询导致较大的响应,恶意用户可以从更少的资源中获取更多收益。通过使僵尸网络中的每个僵尸程序都发出相似的请求来倍增此放大倍数,攻击者既不会被检测到,又会从大大增加攻击流量中受益。
整个攻击过程,一个DNS放大攻击中的单个机器人就好比一个恶意少年打电话给一家餐馆说“我下单了,请给我回电话确认下我的订单”。当餐馆要求提供回叫号码时,这个恶意的少年给出的号码就是目标受害者的电话号码。然后,目标接收来自餐馆的电话,其中包含他们未要求的许多信息。
由于每个漫游器都请求使用欺骗性的IP地址(已更改为目标受害者的真实源IP地址)打开DNS解析器,因此目标服务器会从DNS解析器接收响应。为了创建大量流量,攻击者以一种从DNS解析器生成尽可能大的响应的方式构造请求。结果,目标收到了攻击者初始流量的放大,并且他们的网络被虚假流量所阻塞,从而导致拒绝服务。
DNS放大可分为四个步骤:
1. 攻击者使用受感染的端点将具有欺骗性IP地址的UDP数据包发送到DNS递归。数据包上的欺骗地址指向受害者的真实IP地址。
2. 每个UDP数据包都会向DNS解析器发出请求,通常会传递一个参数(例如“ ANY”),以接收最大的响应。
3. 收到请求后,DNS解析器通过响应来尝试提供帮助,它向欺骗的IP地址发送较大的响应。
4. 目标服务器的IP地址会收到响应,并且周围的网络基础架构会被大量的流量淹没,从而导致拒绝服务。
尽管一些请求不足以破坏网络基础设施,但是当此序列跨多个请求和DNS解析器进行扩展时,目标接收到的数据放大可能会很大,最终到时拒绝服务。
如何缓解DNS放大攻击?
对于运行网站或服务的个人或公司,缓解措施是有限的。这是因为这样一个事实,即尽管它的个人服务器可能是目标服务器,但并不是感觉到体积攻击的主要作用所在。由于产生的大量流量,服务器周围的基础架构受到了影响。互联网服务提供商(ISP)或其他上游基础设施提供商可能无法处理传入的流量而不会变得不知所措。结果,ISP可能会将进入目标受害者IP地址的所有流量都黑洞,从而保护自己并使目标站点脱机。除诸如腾正科技 DDoS保护之类的异地保护服务外,缓解策略主要是预防性Internet基础架构解决方案。
1)减少打开的DNS解析器的总数
DNS放大攻击的重要组成部分是访问开放的DNS解析器。通过使配置不正确的DNS解析器暴露于Internet,攻击者利用DNS解析器所需要做的就是发现它。理想情况下,DNS解析器应仅向源自受信任域的设备提供服务。对于基于反射的攻击,开放的DNS解析器将响应Internet上任何位置的查询,从而有可能被利用。限制DNS解析器,使其仅响应来自受信任来源的查询,这使服务器对于任何类型的放大攻击都不适合使用。
2)源IP验证–阻止欺骗性数据包离开网络
由于攻击者的僵尸网络发送的UDP请求必须具有欺骗到受害者IP地址的源IP地址,因此降低基于UDP的放大攻击的有效性的关键因素是Internet服务提供商(ISP)拒绝任何内部流量欺骗的IP地址。如果从网络内部发送的数据包的源地址使它看起来像是起源于网络外部,则它很可能是欺骗性数据包,可以丢弃。Cloudflare强烈建议所有提供商实施入口过滤,有时会不知不觉地参与DDoS攻击并帮助他们意识到漏洞的ISP。
3)配置Web应用程序防火墙(WAF)
Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品。腾正WAF(Web应用防火墙)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站业务的安全与可用性。了解 腾正WAF
热门跟贴