很多网络服务异常,往往都是攻击造成的,但原因有很多种,如何分析定位,则是解决问题的关键。DNS放大攻击是一种拒绝服务攻击。攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点,连续向多个允许递归查询的DNS服务器,发送大量DNS服务请求,迫使其提供应答服务。经DNS服务器放大后的大量应答数据,再发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。 0x11问题描述 XX.XX.29.4为某大型行业用户的DNS服务器,需要对外提供DNS服务。近期,该用户网络拥塞,运维部门在部署科来网络回溯分析系统后发现,在可疑域名警报功能中触发有大量警报。 0x12分析过程 198.24.157.245(经查为美国IP)在短时间内向XX.XX.29.4服务器发送了大量的DNS请求,请求的域名为dnsamplicationattacks.cc。(DNS Amplification Attacks字面意思就是DNS放大攻击。) 198.24.157.245发出的请求包为101字节,DNS服务器返回的应答包为445字节,从而使通信流量放大了4.4倍。 攻击者利用大量被控主机,向大量的DNS服务器发送DNS请求。但请求中的源IP地址,均被伪造成被攻击者的IP(在本例中为198.24.157.245),于是DNS服务器会向被攻击者返回查询结果。通常查询应答包会比查询请求包大数倍甚至数十倍(在本例中为4.4倍),从而形成对198.24.157.245地址的流量放大攻击。 在本例中,客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中,攻击过程见下图。 0x13 分析结论 攻击者利用大量被控主机,在短时间内向DNS服务器(XX.XX.29.4)发送大量的DNS请求,查询应答包会比查询请求包大4.4倍,造成大流量发送到伪造的源IP地址(198.24.157.245),形成对该IP地址的拒绝服务攻击。 建议用户: 增大链路带宽; DNS服务器关闭递归查询; 一旦发生大规模DNS放大攻击,可以马上与ISP联系,在上游对攻击进行过滤。 0x14 价值 黑客常常利用DNS服务器的特性,将其做为攻击放大器,可依靠僵尸网络发布攻击,往往可以制造极大的攻击流量,而其本身又具有隐蔽性。然而,在本案例中我们看到,通过网络分析技术可以把攻击行为完全梳理出来,达到网络攻击可视化的效果;并且通过协议解码,可以清晰的分析出攻击者使用的攻击手段。利用网络分析技术,通过2到7层的深度协议分析、精确解码、详细统计数据,为客户的信息系统以及网络安全保驾护航。
文章来源:http://www.tuidc.com/idczixun/chanpin/host/4356.html【上云季-1折惊爆价】香港/美国高性能云服务器27元起秒杀专场,上云必备,火爆开抢>>点击查看详情<<
【全球云-高性能限量抢】高性能云主机好用能省,高性能高配置高储存,轻松解锁云端场景>>点击查看详情<<
【服务器-特价服务器】新购指定配置可享受限时特惠7折。每个用户不限台数 低至280元月>>点击查看详情<<
免责声明:本站发布的内容(图片、视频和文字)以原创、来自本网站内容采集于网络互联网转载等其它媒体和分享为主,内容观点不代表本网站立场,如侵犯了原作者的版权,请告知一经查实,将立刻删除涉嫌侵权内容,联系我们QQ:712375056,同时欢迎投稿传递力量。
Copyright © 2009-2022 56dr.com. All Rights Reserved. 特网科技 特网云 版权所有 特网科技 粤ICP备16109289号
域名注册服务机构:阿里云计算有限公司(万网) 域名服务机构:烟台帝思普网络科技有限公司(DNSPod) CDN服务:阿里云计算有限公司 百度云 中国互联网举报中心 增值电信业务经营许可证B2
建议您使用Chrome、Firefox、Edge、IE10及以上版本和360等主流浏览器浏览本网站
