RELATEED CONSULTING
相关咨询
欢迎选择下列在线客服咨询
点击这里给我发消息 QQ:319801955
你可能遇到了下面的问题
关闭右侧工具栏

技术支持

当前位置:机房首页>>帮助中心>>香港高防服务器资讯>>DNS放大攻击原理及解决方法

DNS放大攻击原理及解决方法

  • 来源:香港创新互联
  • 编辑:创新互联编辑部
  • 时间:2019-01-25 15:11
  • 阅读

DNS放大是一种分布式拒绝服务(DDoS)攻击形式,攻击者利用域名系统(DNS)服务器中的漏,洞将利用少量的查询流量,来获得大量的返回流量负载,使用更大量的流量压倒目标服务器或网络,从而呈现服务器和它周围的基础设施无法进入。

DNS放大是一种反射攻击,它操纵公共可访问的域名系统,使它们充斥着大量UDP数据包。使用各种放大技术,犯罪者可以“膨胀”这些UDP数据包的大小,使攻击变得如此强大,甚至可以摧毁最强大的互联网基础设施。

一、DNS放大攻击原理描述

DNS放大和其他放大攻击一样,是一种反射攻击。在这种情况下,通过从DNS解析器向欺骗的IP地址引出响应来实现反射。所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。

在DNS放大攻击过程中,攻击者向打开的DNS解析程序发送一个具有伪造IP地址(受害者的)的DNS查询,提示其使用DNS响应回复该地址。由于发送了大量的假查询,并且有几个DNS解析程序同时回复,受害者的网络很容易被大量的DNS响应淹没。

放大反射攻击甚至更危险。“放大”是指引出与发送的原始分组请求不成比例的服务器响应。

为了放大DNS攻击,可以使用EDNS0 DNS协议扩展来发送每个DNS请求,该扩展允许大型DNS消息,或使用DNS安全扩展(DNSSEC)的加密功能来增加消息大小。还可以使用“ANY”类型的欺骗查询,其在单个请求中返回关于DNS区域的所有已知信息。

通过这些方法和其他方法,可以配置一个大约60字节的DNS请求消息,从而向目标服务器发出一个超过4000字节的响应消息——结果是70:1的放大系数。这将显著增加目标服务器接收的流量,并加快服务器资源耗尽的速度。

此外,DNS放大攻击通常通过一个或多个僵尸网络中继DNS请求- 大大增加了针对目标服务器或服务器的流量,并使跟踪攻击者的身份变得更加困难。

二、DNS放大攻击流程

  1. 1.网络攻击使用用损害端点将含有欺骗性网络ip的UDP数据包发送给DNS recursor。数据包上的欺骗地址指向受害者的真实性IP地址。

  2. 2.每个UDP数据包都向DNS解析器发出请求,一般会传递诸如“ANY”类似的参数,以便接收可能的更大响应。

  3. 3.在接到请求后,尝试通过响应提供帮助的DNS解析器会向欺骗的IP地址发送大量响应。

  4. 4.目标的IP地址接收响应,周围的网络基础设施因流量泛滥而变得不堪重负,导致拒绝服务。

三、DNS放大攻击解决方法

防止或减轻DNS放大攻击影响的常用方法包括加强DNS服务器安全性,阻止特定DNS服务器或所有开放的递归中继服务器以及速率限制。

但是,这些方法不会消除攻击源,也不会减少网络上的负载以及名称服务器和打开的递归服务器之间的切换。此外,阻止来自打开的递归服务器的所有流量可能会干扰合法的DNS通信尝试。举例来说,一些组织维护开放的递归服务器,以便移动工作人员可以从“可信”名称服务器解析。阻止来自这些服务器的流量可能会阻碍其访问。

 本公司DDoS保护解决方案利用Anycast技术来平衡其全局高功率清理服务器网络中的攻击负载,其中流量经历深度数据包检测(DIP)过程,过滤掉恶意DDoS流​​量。

该服务支持按需过度配置和近乎无限的可扩展性,甚至可以处理最大的容量攻击。此外,DDoS保护可以通过BGP公告立即部署在任何网络基础设施之上,这使得机房成为所有传入流量的接收者。

部署后,公司网络可确保在客户端网络之外过滤DDoS流​​量,同时通过安全GRE隧道将所有干净流量转发到其最终目的地。

本公司有详细的防DDOS攻击解决方案,如有遇到攻击问题欢迎测试我公司防ddos攻击产品。

 

我们提供7X24小时售后服务,了解更多香港机房产品和服务,敬请联系
购买咨询 售后服务