什么是 DNS 放大攻擊？如何保護(hù)？ DNS 放大攻擊？

什么是DNS放大攻擊？

這種DDoS攻擊是基于反射的大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊，攻擊者使用開(kāi)放DNS分析器的功能產(chǎn)生大量流量，使目標(biāo)服務(wù)器或網(wǎng)絡(luò)不堪重負(fù)，使服務(wù)器及其周圍基礎(chǔ)設(shè)施無(wú)法訪問(wèn)。

DNS放大攻擊的工作原理是什么？

所有放大攻擊都利用攻擊者和目標(biāo)Web資源的帶寬消耗差異。當(dāng)消耗差異經(jīng)過(guò)多次請(qǐng)求而被放大時(shí)，所產(chǎn)生的流量可導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)設(shè)施中斷。惡意用戶通過(guò)發(fā)送小請(qǐng)求導(dǎo)致大規(guī)模響應(yīng)，可以達(dá)到四兩撥千斤的效果。當(dāng)僵尸網(wǎng)絡(luò)中的每個(gè)自動(dòng)程序都發(fā)出類似的請(qǐng)求來(lái)加倍這種放大效果時(shí)，攻擊者不僅可以避免檢測(cè)，還可以獲得增加攻擊流量的好處。

在DNS在放大攻擊中，其中一個(gè)機(jī)器人就像一個(gè)惡意的青少年打電話給一家餐館“我想點(diǎn)一份，請(qǐng)給我回電話，告訴我整個(gè)訂單”。餐廳詢問(wèn)回電號(hào)碼時(shí)，提供目標(biāo)受害者的電話號(hào)碼。然后目標(biāo)會(huì)接到餐廳的電話，提供大量沒(méi)有要求的信息。

每個(gè)自動(dòng)程序向開(kāi)放開(kāi)放DNS提出要求時(shí)，分析器提供欺騙性IP地址，即目標(biāo)受害者的真實(shí)來(lái)源IP地址，目標(biāo)隨后收到DNS分析器的響應(yīng)。為了產(chǎn)生大量的流量，攻擊者會(huì)以某種方式構(gòu)建請(qǐng)求，以便讓DNS分析器產(chǎn)生盡可能大的響應(yīng)。因此，目標(biāo)接收攻擊者初始流量的放大結(jié)果，其網(wǎng)絡(luò)被虛假流量堵塞，導(dǎo)致拒絕服務(wù)。

DNS放大可分為四個(gè)步驟：

使用受損端點(diǎn)的攻擊者將具有欺騙性IP地址的UDP數(shù)據(jù)包發(fā)送到DNS遞歸服務(wù)器。數(shù)據(jù)包上的欺騙性地址指向受害者的真實(shí)性IP地址。

每個(gè)UDP數(shù)據(jù)包都向DNS通常，解析器發(fā)出一個(gè)參數(shù)(例如“ANY”）盡可能多地接收響應(yīng)。

DNS在收到要求后，分析器會(huì)作弊IP地址響應(yīng)較大。

目標(biāo)的IP地址接收響應(yīng)，周邊網(wǎng)絡(luò)基礎(chǔ)設(shè)施被大量流量淹沒(méi)，導(dǎo)致拒絕服務(wù)。

盡管少量請(qǐng)求不足以導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)設(shè)施下線，但在這一過(guò)程通過(guò)多個(gè)請(qǐng)求和DNS分析器翻倍后，目標(biāo)最終接收的數(shù)據(jù)量變得非常大。進(jìn)一步了解反射攻擊的技術(shù)細(xì)節(jié)。

如何防護(hù)DNS放大攻擊？

對(duì)于運(yùn)營(yíng)網(wǎng)站或服務(wù)的個(gè)人或公司來(lái)說(shuō)，緩解的選擇并不多。這是因?yàn)椋m然個(gè)人或公司的服務(wù)器可能是攻擊目標(biāo)，但它并不是最有影響力的地方。服務(wù)器周圍的基礎(chǔ)設(shè)施受到攻擊產(chǎn)生的大量流量的影響?；ヂ?lián)網(wǎng)服務(wù)提供商（ISP）或其他上游基礎(chǔ)設(shè)施提供商可能無(wú)法處理傳入流量而不堪重負(fù)。因此，ISP對(duì)受害者有可能IP將地址發(fā)送的所有流量傳輸?shù)胶诙绰酚?，以保護(hù)自己，并將目標(biāo)站點(diǎn)離線。除象騰佑科技外DDoS除了遠(yuǎn)程保護(hù)服務(wù)外，緩解策略主要是預(yù)防性的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施解決方案。

減少開(kāi)放DNS分析器總數(shù)

DNS放大攻擊的重要組成部分是對(duì)開(kāi)放DNS訪問(wèn)分析器的權(quán)限。如果互聯(lián)網(wǎng)配置不當(dāng)，DNS那么攻擊者只需要找到這析器DNS可以使用分析器。理想情況下，DNS分析器僅為源自可信域名的設(shè)備提供服務(wù)。在基于反射的攻擊中，開(kāi)放DNS從互聯(lián)網(wǎng)的任何位置來(lái)看，解析器都會(huì)對(duì)查詢做出反應(yīng)，因此可以使用。限制DNS分析器可以使服務(wù)器無(wú)法用于任何類型的放大攻擊，只響應(yīng)來(lái)自信任源的查詢。

源IP驗(yàn)證——防止欺騙性數(shù)據(jù)包離網(wǎng)絡(luò)

因?yàn)楣粽呓┦W(wǎng)絡(luò)發(fā)送的UDP請(qǐng)求必須偽造為受害者IP地址的源IP地址，對(duì)于基于UDP放大攻擊降低其有效性的關(guān)鍵之一是互聯(lián)網(wǎng)服務(wù)提供商（ISP）拒絕偽造IP所有內(nèi)部流量的地址。如果從網(wǎng)絡(luò)內(nèi)部發(fā)送的數(shù)據(jù)包看起來(lái)像來(lái)自網(wǎng)絡(luò)外部的源地址，則可能是偽造數(shù)據(jù)包并可以丟棄。騰佑科技強(qiáng)烈建議所有供應(yīng)商進(jìn)行入口過(guò)濾，并不時(shí)無(wú)意中聯(lián)系和參與DDoS攻擊的ISP，幫助它了解自己的漏洞。

如何緩解DNS放大攻擊？

防火墻配置正確，網(wǎng)絡(luò)容量充足(這不一定容易)，防止等DNS放大等反射攻擊會(huì)像反手一樣容易。雖然攻擊將是單一的IP地址，我們的Anycast網(wǎng)絡(luò)將所有攻擊流分散到不再具有破壞性的地步。騰佑科技可以利用其規(guī)模優(yōu)勢(shì)將攻擊分散到許多數(shù)據(jù)中心，平衡負(fù)載，使服務(wù)永遠(yuǎn)不會(huì)中斷，攻擊永遠(yuǎn)不會(huì)導(dǎo)致目標(biāo)服務(wù)器的基礎(chǔ)設(shè)施過(guò)載。

400-996-8756官網(wǎng)詳細(xì)查詢電話：www.mubashirfilms.com