DNS反射放大攻擊分析——DNS反射放大攻擊主要是利用DNS回復包比請求包大的特點,放大流量,偽造請求包的源IP地址為受害者IP,將應答包的流量引入受害的服務器
阿新 • • 發佈:2017-08-02
返回結果 關閉 class 肉雞 使用 dns服務 能夠 設置 .org
DNS反射放大攻擊分析
摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E5%8D%95%E5%88%86%E6%9E%90/
簡介
DNS反射放大攻擊主要是利用DNS回復包比請求包大的特點,放大流量,偽造請求包的源IP地址為受害者IP,將應答包的流量引入受害的服務器。
簡單對比下正常的DNS查詢和攻擊者的攻擊方式:
正常DNS查詢:
源IP地址 —–DNS查詢—-> DNS服務器 —–DNS回復包—-> 源IP地址DNS攻擊:
偽造IP地址 —–DNS查詢—-> DNS服務器 —–DNS回復包—-> 偽造的IP地址(攻擊目標)
分析
從服務器上抓了一些攻擊包,根據這些數據包可以來看看這種攻擊都是什麽特點。
- 全部是大量的DNS響應請求(Response請求)
- 通常裏面包含一些不存在或者生僻的域名,經過循環查詢從而放大DNS流量
- 會將將 OPT RR 字段中的 UDP 報文大小設置為很大的值(如 4096)
通過這樣放大了攻擊流量。發送的 DNS 查詢請求數據包大小一般為 60 字節左右,而查詢返回結果的數據包大小通常為 3000 字節以上,因此,使用該方式進行放大攻擊能夠達到 50 倍以上的放大效果。
- 大量的流量都來自正常的DNS服務器
攻擊者通過偽造IP向正常的DNS服務器發送這些惡意的查詢請求,將流量引入受害者的服務器,受害者查不到攻擊者的真實IP
解決方案
- 如果沒有必要可以關閉DNS服務(廢話麽不是
- 如果有DNS服務,做好響應限制,DNS服務不應對互聯網上的域名解析服務,而只響公司內部網絡DNS解析請求
- 限制DNS響應數據包大小的閾值,直接丟棄超大的響應數據包
DNS反射放大攻擊
- DNS反射放大攻擊的原理也是類似的。網絡上有大量的開放DNS解析服務器,它們會響應來自任何地址的解析請求。我們發出的解析請求長度是很小的,但是收到的結果卻是非常大的,尤其是查詢某一域名所有類型的DNS記錄時,返回的數據量就更大,於是可以利用這些解析服務器來攻擊某個目標地址的服務器,而且是利用被控制的機器發起偽造的解析請求,然後解析結果返回給被攻擊目標。由於DNS解析一般是UDP請求,不需要握手,源地址屬性易於偽造,而且部分“肉雞”在平時本來就是合法的IP地址,我們很難驗證請求的真實性和合法性。DNSSEC是一種可以防止緩存投毒的機制,另外,如果DNS本身抗壓能力不行,而且對方請求量過大的話,也會影響到DNS本身的服務。目前此類攻擊的規模在數百Gbps級別。
DNS反射放大攻擊分析——DNS反射放大攻擊主要是利用DNS回復包比請求包大的特點,放大流量,偽造請求包的源IP地址為受害者IP,將應答包的流量引入受害的服務器