DDOS分布式拒絕服務(wù)，主要是針對目標(biāo)系統(tǒng)的惡意網(wǎng)絡(luò)攻擊行為，導(dǎo)致被攻擊者的業(yè)務(wù)無法正常訪問。相信各位站長對于DDOS已經(jīng)是耳熟能詳，倒背如流了的境界了，但是對于不和網(wǎng)絡(luò)相關(guān)工作的人員或者是一些企業(yè)網(wǎng)站運(yùn)維人員就不見得可以分辨出DDOS的攻擊類型。

DNS放大攻擊的操作流程以及防御措施

DNS放大攻擊與NTP放大攻擊是相似的，但相比NTP放大頻率DNS放大頻率更高。一般攻擊者會利用僵尸網(wǎng)絡(luò)中的被控主機(jī)偽裝成被攻擊主機(jī)，然后設(shè)置成特定的時(shí)間點(diǎn)連續(xù)向多個(gè)允許遞歸查詢的DNS服務(wù)器發(fā)送大量DNS服務(wù)請求，然后讓其提供應(yīng)答服務(wù)，應(yīng)答數(shù)據(jù)經(jīng)DNS服務(wù)器放大后發(fā)送到被攻擊主機(jī)，形成大量的流量攻擊，耗盡服務(wù)器的資源，導(dǎo)致其無法提供正常服務(wù)甚至癱瘓。

DNS放大攻擊工作原理：

DNS放大是一種分布式拒絕服務(wù) (DDoS) 攻擊，其中，攻擊者利用域名系統(tǒng) (DNS) 服務(wù)器中的漏洞，將最初很小的查詢變成較大的負(fù)載，達(dá)到其破壞受害者服務(wù)器的目的。 DNS 放大是一種反射攻擊，它通過操縱可公開訪問域名系統(tǒng)，用大量UDP包淹沒一個(gè)特定目標(biāo)。利用各種放大技術(shù)，攻擊者可”放大”這些UDP包的規(guī)模，使攻擊變得強(qiáng)大，甚至可以破壞最強(qiáng)大的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。

DNS放大是一種非對稱的 DDoS攻擊，其中，攻擊者向外發(fā)出帶有虛假目標(biāo)IP的較小的查詢請求，使得被欺騙目標(biāo)成為更大DNS響應(yīng)的接收者。利用這些攻擊，攻擊者達(dá)到其目的：通過持續(xù)消耗帶寬容量而使網(wǎng)絡(luò)飽和。

你需要保證手邊有能夠與你的ISP隨時(shí)取得聯(lián)系的應(yīng)急電話號碼。這樣，一旦發(fā)生這種攻擊，你可以馬上與ISP聯(lián)系，讓他們在上游過濾掉這種攻擊。要識別這種攻擊，你要查看包含DNS回復(fù)的大量通訊(源UDP端口53)，特別是要查看那些擁有大量DNS記錄的端口。一些ISP已經(jīng)在其整個(gè)網(wǎng)絡(luò)上部署了傳感器以便檢測各種類型的早期大量通訊。這樣，你的ISP很可能在你發(fā)現(xiàn)這種攻擊之前就發(fā)現(xiàn)和避免了這種攻擊。

最后，為了阻止惡意人員使用你的DNS服務(wù)器作為實(shí)施DNS放大攻擊的代理，你要保證你可以從外部訪問的DNS服務(wù)器僅為你自己的網(wǎng)絡(luò)執(zhí)行循環(huán)查詢，不為任何互聯(lián)網(wǎng)上的地址進(jìn)行這種查詢。大多數(shù)主要DNS服務(wù)器擁有限制循環(huán)查詢的能力，因此，它們僅接受某些網(wǎng)絡(luò)的查詢，比如你自己的網(wǎng)絡(luò)。通過阻止利用循環(huán)查詢裝載大型有害的DNS記錄，你就可以防止你的DNS服務(wù)器成為這個(gè)問題的一部分。

DNS放大攻擊的防御措施：

1.正確配置防火墻和網(wǎng)絡(luò)容量；

2.增大鏈路帶寬；

3.限制DNS解析器僅響應(yīng)來自可信源的查詢或者關(guān)閉DNS服務(wù)器的遞歸查詢；

4.使用DDoS防御產(chǎn)品，將入口異常訪問請求進(jìn)行過濾清洗，然后將正常的訪問請求分發(fā)給服務(wù)器進(jìn)行業(yè)務(wù)處理。

最近金融方面的一些小型企業(yè)用戶對天下數(shù)據(jù)反映說遭到了DDoS攻擊，因此建議這類客戶對自己的網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行全方面的排查，安裝最新補(bǔ)丁。對服務(wù)器各個(gè)協(xié)議的配置進(jìn)行排查，禁用可能會被攻擊工具利用的服務(wù)。提前做好防護(hù)，避免潛在危險(xiǎn)。

本文鏈接：http://m.51huadong.com/cloundnews/11007333.html