< 返回新闻公告列表

简述什么是DNS放大攻击以及DNS放大攻击的基本工作原理

发布时间:2020-05-14 08:28:22    来源: 知鸟云

什么是DNS放大攻击?

DNS放大攻击是DDoS攻击的一种,攻击者利用域名系统(DNS)服务器的漏洞,将最初的小请求转化为大得多的有效载荷,利用受害者的服务器进行分解。DNS放大是一种反射附件的形式,它操纵公有域名系统,使其充斥着大量的UDP数据包。通过使用不同的放大方法,编写者可以 "夸大 "这些UDP数据包的大小,从而使攻击的效率高到连互联网基础设施都不可靠。

QQ截图20200514082414.png

DNS放大攻击使用不同的方法来实现拒绝服务的相同最终目标。其想法是想象六辆宽体卡车并排行驶在同一条六车道的公路上,而不是成千上万的汽车同时进入高速公路。车流完全被打乱了,不是因为数千辆汽车的突然袭击,而是因为少数车辆无法通过正常的交通而导致的交通瘫痪。而且,虽然大多数DDoS攻击的工作原理是将大量的平均数据包淹没在网络中,但DNS放大攻击也可以得到同样的结果。尽管如此,没有任何一个类比是完美的,DNS放大过去还有一些额外的细微差别,让我们来深入了解一下这种攻击。

DNS放大攻击是如何工作的?

恶意行为者在DNS放大攻击中,利用域名系统(DNS)的正常运行--互联网的 "地址簿",作为攻击目标受害者网站的工具。其目的是利用假的DNS搜索请求,使网站溢出,从而使网站失败。让我们从高层次上回顾一下DNS的工作原理,了解一下DNS是如何进行攻击的。DNS就是接受这个请求的互联网服务,当用户在浏览器中输入www.zhiniaoyun.net时,DNS会找到分配给该域名的IP地址,并将其发回浏览器,让客户端连接到该网站。那么,接下来攻击者会怎么做呢?扩大化。记住,他们的目标是把小的DNS请求变成大的答案。一个标准的DNS(只有几行)请求是非常小的--通常以十个字节为单位--只返回一个稍微大一点的响应。

DNS放大攻击的描述

DNS的放大攻击和其他放大攻击一样,是一种反射攻击。这里的反射是通过DNS解析器对欺骗的IP地址进行回复来完成的。多次重复请求和DNS解析器同时重复的DNS应答数量很容易让人应接不暇。一旦加剧,反射性的影响就更有风险。"强化 "指的是与发送的初始数据包请求无关的服务器响应。每一个DNS请求都可以利用EDNS0 DNS协议扩展来强化DNS攻击,它可以使用EDNS0的DNS协议扩展,允许大的DNS报文,也可以使用DNS安全扩展加密功能来提高报文大小。也可以使用 "ANY "类型的欺骗查询,在一条消息中返回一个DNS区域的所有已知信息。

如何缓解DNS攻击?

对于运营网站或服务的个人或公司,有限制性的缓解方案。这是因为受害者的服务器不是卷积攻击的主要影响的地方,而它可能是目标。服务器周围的网络是通过其产生的巨大流量来区分的。ISP或其他上游基础设施提供商无法在不被淹没的情况下处理传入的流量。因此,ISP可能会将所有流量锁定在目标方的IP地址上,进行自我防御,并删除目标网站。缓解策略除了Cloudflare DDoS防护等站外防护服务外,主要是保护性的互联网基础设施方式。由于僵尸网络攻击者发送的UDP应用需要源IP地址被欺骗到受害者的IP地址,因此需要互联网提供商(ISP)拒绝带有欺骗IP地址的内部流量。如果一个看似来自于网络外部的地址的数据包在网络内部发送,那么很可能是一个被欺骗的数据包,可以将其丢弃。


 

相关推荐