DNS放大攻擊的工作原理和防御措施？

DDOS分布式拒絕服務(wù)主要針對(duì)目標(biāo)系統(tǒng)的惡意網(wǎng)絡(luò)攻擊，導(dǎo)致被攻擊者的業(yè)務(wù)無(wú)法正常訪問。我相信站長(zhǎng)DDOS這已經(jīng)是一個(gè)熟悉和流動(dòng)的狀態(tài)，但對(duì)于不與網(wǎng)絡(luò)相關(guān)的人員或一些企業(yè)網(wǎng)站運(yùn)維人員來(lái)說，它可能無(wú)法區(qū)分DDOS攻擊類型。

DNS放大攻擊的操作過程和防御措施

DNS放大攻擊與NTP放大攻擊是相似的，但與之相比NTP放大頻率DNS放大頻率更高。一般攻擊者會(huì)利用僵尸網(wǎng)絡(luò)中的被控主機(jī)偽裝成被攻擊主機(jī)，然后設(shè)置成特定的時(shí)間點(diǎn)連續(xù)向多個(gè)允許遞歸查詢的DNS大量服務(wù)器發(fā)送DNS服務(wù)請(qǐng)求，然后讓它提供響應(yīng)服務(wù)，響應(yīng)數(shù)據(jù)通過DNS將服務(wù)器放大后發(fā)送到攻擊主機(jī)，形成大量流量攻擊，耗盡服務(wù)器資源，使其無(wú)法提供正常服務(wù)，甚至癱瘓。

DNS放大攻擊工作原理：

DNS放大是一種分布式拒絕服務(wù)(DDoS)攻擊者使用域名系統(tǒng)(DNS)服務(wù)器中的漏洞將最初的小查詢變成更大的負(fù)載，以破壞受害者的服務(wù)器。DNS放大是一種反射攻擊，可以公開訪問域名系統(tǒng)UDP包淹沒了特定的目標(biāo)。攻擊者可以使用各種放大技術(shù)”放大”這些UDP包的規(guī)模使攻擊強(qiáng)大，甚至破壞最強(qiáng)大的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。

DNS放大是不對(duì)稱的DDoS其中，攻擊者向外發(fā)出虛假目標(biāo)IP較小的查詢請(qǐng)求使被欺騙的目標(biāo)更大DNS響應(yīng)接收者。利用這些攻擊，攻擊者可以通過持續(xù)消耗帶寬容量來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)飽和。

你需要確保你的手可以和你在一起ISP隨時(shí)獲取聯(lián)系的應(yīng)急電話號(hào)碼。這樣，一旦發(fā)生這種攻擊，你可以立即與之相處ISP讓他們?cè)谏嫌芜^濾掉攻擊。要識(shí)別這種攻擊，你必須檢查它包含了什么DNS大量回復(fù)通信(源UDP端口53)，尤其是那些有很多的人DNS記錄端口。一些ISP傳感器已部署在其整個(gè)網(wǎng)絡(luò)上，以檢測(cè)各種早期通信類型。這樣，你的ISP在你發(fā)現(xiàn)這種攻擊之前，很可能會(huì)發(fā)現(xiàn)并避免它。

最后，為了防止惡意人員使用你，DNS實(shí)施服務(wù)器DNS放大攻擊代理，你必須確保你能從外部訪問DNS服務(wù)器只為您自己的網(wǎng)絡(luò)進(jìn)行循環(huán)查詢，而不是為互聯(lián)網(wǎng)上的任何地址。大多數(shù)主要DNS服務(wù)器有限制循環(huán)查詢的能力，所以它們只接受某些網(wǎng)絡(luò)的查詢，比如你自己的網(wǎng)絡(luò)。通過防止循環(huán)查詢裝載大型有害物質(zhì)DNS記錄，你可以防止你DNS服務(wù)器成為這個(gè)問題的一部分。

DNS防御措施放大攻擊：

1.正確配置防火墻和網(wǎng)絡(luò)容量；

2.增加鏈路帶寬；

3.限制DNS解析器只響應(yīng)可信源的查詢或關(guān)閉DNS遞歸查詢服務(wù)器；

4.使用DDoS防御產(chǎn)品，過濾清理入口異常訪問請(qǐng)求，然后將正常訪問請(qǐng)求分發(fā)給服務(wù)器進(jìn)行業(yè)務(wù)處理。

最近，一些金融小企業(yè)用戶告訴騰佑科技DDoS攻擊，因此建議這些客戶調(diào)查他們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的各個(gè)方面，并安裝最新的補(bǔ)丁。檢查服務(wù)器各協(xié)議的配置，禁止可能被攻擊工具使用的服務(wù)。提前做好保護(hù)工作，以避免潛在的危險(xiǎn)。