如何發(fā)現“利用DNS放大攻擊”的服務(wù)器

很多網(wǎng)絡(luò )服務(wù)異常，往往都是攻擊造成的，但原因有很多種，如何分析定位，則是解決問(wèn)題的關(guān)鍵。DNS放大攻擊是一種拒絕服務(wù)攻擊。攻擊者利用僵尸網(wǎng)絡(luò )中大量的被控主機，偽裝成被攻擊主機，在特定時(shí)間點(diǎn)，連續向多個(gè)允許遞歸查詢(xún)的DNS服務(wù)器，發(fā)送大量DNS服務(wù)請求，迫使其提供應答服務(wù)。經(jīng)DNS服務(wù)器放大后的大量應答數據，再發(fā)送到被攻擊主機，形成攻擊流量，導致其無(wú)法提供正常服務(wù)甚至癱瘓。 0x11問(wèn)題描述 XX.XX.29.4為某大型行業(yè)用戶(hù)的DNS服務(wù)器，需要對外提供DNS服務(wù)。近期，該用戶(hù)網(wǎng)絡(luò )擁塞，運維部門(mén)在部署科來(lái)網(wǎng)絡(luò )回溯分析系統后發(fā)現，在可疑域名警報功能中觸發(fā)有大量警報。     0x12分析過(guò)程 198.24.157.245（經(jīng)查為美國IP）在短時(shí)間內向XX.XX.29.4服務(wù)器發(fā)送了大量的DNS請求，請求的域名為dnsamplicationattacks.cc。（DNS Amplification Attacks字面意思就是DNS放大攻擊。）     198.24.157.245發(fā)出的請求包為101字節，DNS服務(wù)器返回的應答包為445字節，從而使通信流量放大了4.4倍。     攻擊者利用大量被控主機，向大量的DNS服務(wù)器發(fā)送DNS請求。但請求中的源IP地址，均被偽造成被攻擊者的IP（在本例中為198.24.157.245），于是DNS服務(wù)器會(huì )向被攻擊者返回查詢(xún)結果。通常查詢(xún)應答包會(huì )比查詢(xún)請求包大數倍甚至數十倍（在本例中為4.4倍），從而形成對198.24.157.245地址的流量放大攻擊。 在本例中，客戶(hù)的DNS服務(wù)器被作為實(shí)施這種DNS放大攻擊的代理參與其中，攻擊過(guò)程見(jiàn)下圖。     0x13 分析結論 攻擊者利用大量被控主機，在短時(shí)間內向DNS服務(wù)器（XX.XX.29.4）發(fā)送大量的DNS請求，查詢(xún)應答包會(huì )比查詢(xún)請求包大4.4倍，造成大流量發(fā)送到偽造的源IP地址（198.24.157.245），形成對該IP地址的拒絕服務(wù)攻擊。 建議用戶(hù)： 增大鏈路帶寬； DNS服務(wù)器關(guān)閉遞歸查詢(xún)； 一旦發(fā)生大規模DNS放大攻擊，可以馬上與ISP聯(lián)系，在上游對攻擊進(jìn)行過(guò)濾。 0x14 價(jià)值 黑客常常利用DNS服務(wù)器的特性，將其做為攻擊放大器，可依靠僵尸網(wǎng)絡(luò )發(fā)布攻擊，往往可以制造極大的攻擊流量，而其本身又具有隱蔽性。然而，在本案例中我們看到，通過(guò)網(wǎng)絡(luò )分析技術(shù)可以把攻擊行為完全梳理出來(lái)，達到網(wǎng)絡(luò )攻擊可視化的效果；并且通過(guò)協(xié)議解碼，可以清晰的分析出攻擊者使用的攻擊手段。利用網(wǎng)絡(luò )分析技術(shù)，通過(guò)2到7層的深度協(xié)議分析、精確解碼、詳細統計數據，為客戶(hù)的信息系統以及網(wǎng)絡(luò )安全保駕護航。

文章來(lái)源：http://www.tuidc.com/idczixun/chanpin/host/4356.html

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<