什么是 DNS 放大攻擊？

這種 DDoS 攻擊是基于反射的大規(guī)模分布式拒絕服務(wù) (DDoS) 攻擊，其中，攻擊者利用開放 DNS 解析器的功能產(chǎn)生大量流量，使目標(biāo)服務(wù)器或網(wǎng)絡(luò)不堪重負(fù)，導(dǎo)致服務(wù)器及其周圍基礎(chǔ)設(shè)施無法訪問。

DNS 放大攻擊的工作原理是什么？

所有放大攻擊都利用攻擊者和目標(biāo) Web 資源之間的帶寬消耗差異。當(dāng)消耗差異經(jīng)過多次請求而被放大時(shí)，所產(chǎn)生的流量可導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)設(shè)施中斷。通過發(fā)送小型請求來導(dǎo)致大規(guī)模響應(yīng)，惡意用戶就能達(dá)到四兩撥千斤的效果。當(dāng)通過某個(gè)僵尸網(wǎng)絡(luò)中的每個(gè)自動(dòng)程序都發(fā)出類似請求來使這種放大效果倍增時(shí)，攻擊者既能躲避檢測，又能收獲攻擊流量大增的好處。

在 DNS 放大攻擊中，其中一個(gè)機(jī)器人好比是一個(gè)心懷惡意的青少年打電話給一家餐廳，說“我要每樣?xùn)|西點(diǎn)一份，請給我回電話，告訴我整個(gè)訂單”。當(dāng)餐廳詢問回電號碼時(shí)，提供的是目標(biāo)受害者的電話號碼。然后目標(biāo)會(huì)接到來自餐廳的電話，提供其并未請求的大量信息。

由于每個(gè)自動(dòng)程序向開放 DNS 解析器提出請求時(shí)都提供欺騙性 IP 地址，也就是目標(biāo)受害者的真實(shí)源 IP 地址，目標(biāo)隨后會(huì)收到來自 DNS 解析器的響應(yīng)。為了產(chǎn)生大量流量，攻擊者會(huì)以某種方式來構(gòu)造請求，以便讓 DNS 解析器產(chǎn)生盡可能大的響應(yīng)。因此，目標(biāo)接收攻擊者的初始流量的放大結(jié)果，其網(wǎng)絡(luò)被虛假流量堵塞，導(dǎo)致拒絕服務(wù)。

DNS 放大可分為四個(gè)步驟：

攻擊者使用受損的端點(diǎn)將有欺騙性 IP 地址的 UDP 數(shù)據(jù)包發(fā)送到 DNS 遞歸服務(wù)器。數(shù)據(jù)包上的欺騙性地址指向受害者的真實(shí) IP 地址。

每個(gè) UDP 數(shù)據(jù)包都向 DNS 解析器發(fā)出請求，通常傳遞一個(gè)參數(shù)（例如“ANY”）以接收盡可能最大的響應(yīng)。

DNS 解析器收到請求后，會(huì)向欺騙性 IP 地址發(fā)送較大的響應(yīng)。

目標(biāo)的 IP 地址接收響應(yīng)，其周邊的網(wǎng)絡(luò)基礎(chǔ)設(shè)施被大量流量淹沒，從而導(dǎo)致拒絕服務(wù)。

盡管少量請求不足以導(dǎo)致網(wǎng)絡(luò)基礎(chǔ)設(shè)施下線，但在這一過程通過多個(gè)請求和 DNS 解析器翻倍后，目標(biāo)最終接收的數(shù)據(jù)量變得非常大。進(jìn)一步了解有關(guān)反射攻擊的技術(shù)細(xì)節(jié)。

如何防護(hù) DNS 放大攻擊？

對于運(yùn)行網(wǎng)站或服務(wù)的個(gè)人或公司來說，緩解選擇并不多。這是因?yàn)�，盡管個(gè)人或公司的服務(wù)器可能是攻擊目標(biāo)，但其并非容量耗盡攻擊影響最大的地方。鑒于攻擊所產(chǎn)生的大量流量，服務(wù)器周圍的基礎(chǔ)設(shè)施感受到影響�；ヂ�(lián)網(wǎng)服務(wù)提供商（ISP）或其他上游基礎(chǔ)設(shè)施提供商可能無法處理傳入流量而不堪重負(fù)。因此，ISP 可能會(huì)將向受害者 IP 地址發(fā)送的所有流量傳送到一個(gè)黑洞路由，以保護(hù)自己并將目標(biāo)站點(diǎn)下線。除了象天 下 數(shù) 據(jù) DDoS 防護(hù)這樣的異地保護(hù)服務(wù)外，緩解策略大多是預(yù)防性的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施解決方案。

減少開放 DNS 解析器的總數(shù)

DNS 放大攻擊的一個(gè)重要組成部分是對開放 DNS 解析器的訪問權(quán)限。如果互聯(lián)網(wǎng)上有配置不當(dāng)?shù)?DNS 解析器，那么攻擊者只要找到這種 DNS 解析器就能加以利用。理想情況下，DNS 解析器應(yīng)僅向源自受信任域名的設(shè)備提供服務(wù)。在基于反射的攻擊中，開放 DNS 解析器將響應(yīng)來自互聯(lián)網(wǎng)任何位置的查詢，因此有可能被利用。限制 DNS 解析器，使其僅響應(yīng)來自受信任來源的查詢，即可使服務(wù)器無法被用于任何類型的放大攻擊。

源 IP 驗(yàn)證 —— 阻止欺騙性數(shù)據(jù)包離開網(wǎng)絡(luò)

由于攻擊者僵尸網(wǎng)絡(luò)發(fā)送的 UDP 請求必須有一個(gè)偽造為受害者 IP 地址的源 IP 地址，對于基于 UDP 的放大攻擊，降低其有效性的一個(gè)關(guān)鍵是互聯(lián)網(wǎng)服務(wù)提供商（ISP）拒絕帶有偽造 IP 地址的所有內(nèi)部流量。如果一個(gè)從網(wǎng)絡(luò)內(nèi)部發(fā)送的數(shù)據(jù)包帶有一個(gè)看起來像來自網(wǎng)絡(luò)外部的源地址，那么它就有可能是偽造數(shù)據(jù)包并可被丟棄。天 下 數(shù) 據(jù)強(qiáng)烈建議所有提供商實(shí)施入口過濾，并不時(shí)聯(lián)系無意中參與了 DDoS 攻擊的 ISP，幫助其了解自己的漏洞。

如何緩解 DNS 放大攻擊？

擁有正確配置的防火墻和足夠的網(wǎng)絡(luò)容量（這不一定是易事），阻止諸如 DNS 放大之類的反射攻擊將易如反掌。盡管攻擊會(huì)針對單一 IP 地址，我們的 Anycast 網(wǎng)絡(luò)將把所有攻擊流量分散到不再具有破壞力的地步。天 下 數(shù) 據(jù) 能利用其規(guī)模優(yōu)勢來將攻擊的力度分散到眾多數(shù)據(jù)中心，平衡負(fù)載，這樣服務(wù)始終不會(huì)中斷，攻擊也永遠(yuǎn)無法導(dǎo)致目標(biāo)服務(wù)器的基礎(chǔ)設(shè)施過載。

詳詢電話400-638-8808 官網(wǎng)：m.51huadong.com

本文鏈接：http://m.51huadong.com/cloundnews/11007305.html