8130 
2023-05-20 11:57:01 DDoS攻擊是指通過僵尸網絡利用各種服務請求耗盡被攻擊網絡的系統資源,造成被攻擊網絡無法處理合法用戶的請求。針對DNS的DDoS攻擊應對方法都有哪些呢?今天快快網絡小編給大家全面講解下什么是DDoS攻擊。
針對DNS的DDoS攻擊應對方法
而針對DNS的DDoS攻擊又可按攻擊發起者和攻擊特征進行分類:
1、按攻擊發起者分類 僵尸網絡:控制大批僵尸網絡利用真實DNS協議棧發起大量域名查詢請求 模擬工具:利用工具軟件偽造源IP發送海量DNS查詢
2、按攻擊特征分類 Flood攻擊:發送海量DNS查詢報文導致網絡帶寬耗盡而無法傳送正常DNS 查詢請求。
資源消耗攻擊:發送大量非法域名查詢報文引起DNS服務器持續進行迭代查詢,從而達到較少的攻擊流量消耗大量服務器資源的目的。
處理辦法:
屏蔽未經請求發送的DNS響應信息
一個典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS服務器中,在DNS服務器對查詢請求進行處理之后,服務器會將響應信息返回給DNS解析器。但值得注意的是,響應信息是不會主動發送的。
服務器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,回應就被丟棄
丟棄快速重傳數據包。
1.即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS服務器發送相同的DNS查詢請求。
2.如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可丟棄。
啟用TTL
如果DNS服務器已經將響應信息成功發送了,應該禁止服務器在較短的時間間隔內對相同的查詢請求信息進行響應。
1.對于一個合法的DNS客戶端如果已經接收到了響應信息,就不會再次發送相同的查詢請求。
2.每一個響應信息都應進行緩存處理直到TTL過期。
3.當DNS服務器遭遇大量查詢請求時,可以屏蔽掉不需要的數據包。
丟棄未知來源的DNS查詢請求和響應數據
通常情況下,攻擊者會利用腳本來對目標進行分布式拒絕服務攻擊(DDoS攻擊),而且這些腳本通常是有漏洞的。因此,在服務器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入服務器的數據包數量。
丟棄未經請求或突發的DNS請求
這類請求信息很可能是由偽造的代理服務器所發送的,或是由于客戶端配置錯誤或者是攻擊流量。所以無論是哪一種情況,都應該直接丟棄這類數據包。
非泛洪攻擊 (non-flood) 時段,創建一個白名單,添加允許服務器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。
這種方法能夠有效地保護服務器不受泛洪攻擊的威脅,也能保證合法的域名服務器只對合法的DNS查詢請求進行處理和響應。
啟動DNS客戶端驗證
偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用于從偽造泛洪數據中篩選出非泛洪數據包。
對響應信息進行緩存處理
如果某一查詢請求對應的響應信息已經存在于服務器的DNS緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止服務器因過載而發生宕機。
很多請求中包含了服務器不具有或不支持的信息,我們可以進行簡單的阻斷設置,例如外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。
利用ACL,BCP38,及IP信譽功能的使用
托管DNS服務器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不需要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
還有一種情況,某些偽造的數據包可能來自與內部網絡地址,可以利用BCP38通過硬件過濾也可以清除異常來源地址的請求。
BCP38對于提供DNS解析的服務提供商也相當有用,可以避免用戶向外發送攻擊或受到內部地址請求的攻擊,過濾用戶并保證其數據傳輸。
提供余量帶寬
如果服務器日常需要處理的DNS通信量達到了X Gbps,請確保流量通道不止是日常的量,有一定的帶寬余量可以有利于處理大規模攻擊。
結語,目前針對DNS的攻擊已成為最嚴重的網絡威脅之一。目前越來越多的大型網站注重DNS保護這一塊。為保障網站安全,保障網站利益,選擇高防型的DNS為自己的域名進行解析已經迫在眉睫。
什么是DDoS攻擊?
分布式拒絕服務(DDoS:Distributed Denial of Service Attack)攻擊是通過大規模互聯網流量淹沒目標服務器或其周邊基礎設施,以破壞目標服務器、服務或網絡正常流量的惡意行為,DDoS 攻擊利用多臺受損計算機系統作為攻擊流量來源以達到攻擊效果。利用的機器可以包括計算機,也可以包括其他聯網資源(如 IoT 設備)
攻擊者利用受控主機發送大量的網絡數據包,占滿攻擊目標的帶寬,使得正常請求無法達到及時有效的響應
DNS 響應的數據包比查詢的數據包大,攻擊者發送的DNS查詢數據包大小一般為 60 字節左右,而查詢返回的數據包的大小通常在3000字節以上,因此放大倍數能達到50倍以上,放大效果驚人
主要通過對系統維護的連接資源進行消耗,使其無法正常連接,以達到拒絕服務的目的,此類攻擊主要是因為TCP 安全性設計缺陷引起的
目標計算機響應每個連接請求,然后等待握手中的最后一步,但這一步確永遠不會發生,因此在此過程中耗盡目標的資源
消耗應用資源攻擊通過向應用提交大量消耗資源的請求,以達到拒絕服務的目的
這種類型的攻擊較簡單的實現可以使用相同范圍的攻擊 IP 地址、referrer 和用戶代理訪問一個 URL;復雜版本可能使用大量攻擊性 IP 地址,并使用隨機 referrer 和用戶代理來針對隨機網址
LOTC是一個最受歡迎的DOS攻擊工具。 這個工具曾經被流行的黑客集團匿名者用于對許多大公司的網絡攻擊
它可以通過使用單個用戶執行 DOS 攻擊小型服務器,工具非常易于使用,即便你是一個初學者。 這個工具執行DOS攻擊通過發送UDP,TCP或HTTP請求到受害者服務器。你只需要知道服務器的IP地址或URL,其他的就交給這個工具吧
XOIC是另一個不錯的DOS攻擊工具。它根據用戶選擇的端口與協議執行DOS攻擊任何服務器。XOIC開發者還聲稱XOIC比LOIC在很多方面更強大
一般來說,該工具有三種攻擊模式,第一個被稱為測試模式,是非常基本的; 第二個是正常的DOS攻擊模式; 最后一個是帶有HTTP / TCP / UDP / ICMP消息的DOS攻擊模式
對付小型網站來說,這是一個很有效的DDOS工具, 但是從來沒有嘗試的要小心點,你可能最終會撞自己的網站的服務器
DDOS攻擊之DNS放大攻擊
此DDoS攻擊是基于反射的體積分布式拒絕服務(DDoS)攻擊,其中攻擊者利用開放式DNS解析器的功能,以便使用更大量的流量壓倒目標 服務器 或網絡,從而呈現服務器和它周圍的基礎設施無法進入。
所有放大攻擊都利用了攻擊者和目標Web資源之間的帶寬消耗差異。當在許多請求中放大成本差異時,由此產生的流量可能會破壞網絡基礎設施。通過發送導致大量響應的小查詢,惡意用戶可以從更少的內容獲得更多。由具有在每個機器人這個倍數乘以僵尸網絡進行類似的請求,攻擊者是從檢測既混淆和收獲大大提高了攻擊流量的好處。
DNS放大攻擊中的一個機器人可以被認為是一個惡意的少年打電話給餐館并說“我將擁有一切,請給我回電話并告訴我整個訂單。”當餐廳要求時一個回叫號碼,給出的號碼是目標受害者的電話號碼。然后,目標接收來自餐館的電話,其中包含許多他們未請求的信息。
由于每個機器人都要求使用欺騙性IP地址打開DNS解析器,該IP地址已更改為目標受害者的真實源IP地址,然后目標會從DNS解析器接收響應。為了創建大量流量,攻擊者以盡可能從DNS解析器生成響應的方式構造請求。結果,目標接收到攻擊者初始流量的放大,并且他們的網絡被虛假流量阻塞,導致拒絕服務。
攻擊者使用受損端點將帶有欺騙性IP地址的UDP數據包發送到DNS recursor。數據包上的欺騙地址指向受害者的真實IP地址。每個UDP數據包都向DNS解析器發出請求,通常會傳遞諸如“ANY”之類的參數,以便接收可能的最大響應。
在收到請求后,嘗試通過響應提供幫助的DNS解析器會向欺騙的IP地址發送大量響應。目標的IP地址接收響應,周圍的網絡基礎設施因流量泛濫而變得 不堪重負 ,導致拒絕服務。
雖然一些請求不足以取消網絡基礎設施,但當此序列在多個請求和DNS解析器之間成倍增加時,目標接收的數據放大可能很大。探索有關反射攻擊的更多技術細節。
對于運營網站或服務的個人或公司,緩解選項是有限的。這是因為個人的服務器雖然可能是目標,但卻不會感受到體積攻擊的主要影響。由于產生了大量流量,服務器周圍的基礎設施會產生影響。Internet服務提供商(ISP)或其他上游基礎架構提供商可能無法處理傳入流量而不會變得不堪重負。因此,ISP可能將所有流量黑洞到目標受害者的IP地址,保護自己并使目標站點脫機。除Cloudflare DDoS保護等非現場保護服務外,緩解策略主要是預防性互聯網基礎設施解決方案。
DNS放大攻擊的一個重要組成部分是訪問開放式DNS解析器。通過將配置不當的DNS解析器暴露給Internet,攻擊者需要做的就是利用DNS解析器來發現它。理想情況下,DNS解析器應僅向源自受信任域的設備提供其服務。在基于反射的攻擊的情況下,開放的DNS解析器將響應來自Internet上任何地方的查詢,從而允許利用漏洞。限制DNS解析器以使其僅響應來自可信源的查詢使得服務器成為任何類型的放大攻擊的不良工具。
由于攻擊者僵尸網絡發送的UDP請求必須具有欺騙受害者IP地址的源IP地址,因此降低基于UDP的放大攻擊有效性的關鍵組件是Internet服務提供商(ISP)拒絕任何內部流量欺騙的IP地址。如果從網絡內部發送一個數據包,其源地址使其看起來像是在網絡外部發起的,那么它可能是一個欺騙性數據包,可以被丟棄。Cloudflare強烈建議所有提供商實施入口過濾,有時會聯系那些 不知不覺 地參與DDoS攻擊并幫助他們實現漏洞的ISP。
針對DNS的DDoS攻擊應對方法小編已經給大家整理好了,高防DNS擁有較高的帶寬或者是彈性帶寬,能夠輕松應對DDoS攻擊,高防DNS通常都具備健康監測能力,可以對服務器的健康狀態進行實時監測,保障網站服務器的正常運行。
