您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

DNS 的 5 种攻击形式和应对举措

时间:2020-10-28 12:41:54  来源:  作者:

众所周知,DNS 是一种非常基本的协议 / 服务,它让互联网用户和网络设备能发现使用人类可读的域名,而非纯数字 IP 地址的网站。AWS 的这篇文章详细解释了 DNS 的工作原理。如果 DNS 服务受到攻击或无法正常工作,那么你的服务或网站很有可能无法访问。

在本篇博文中,我会详细解释 DNS 服务面临的主要威胁,以及相应的缓解策略。

文中使用的真实攻击数据和相关统计均来自 Imperva 云 WAF 保护服务。

DDoS

分布式拒绝服务( DDoS )会在攻击期间导致受害者服务无法访问。根据 Techradar 的这篇文章,DDoS 的受害者甚至包括前沿的云服务提供商,比如亚马逊AWS。

对DNS 基础设施上的DDoS 攻击分为以下几种:

1. Straightforward/Naive DDoS

黑客使用僵尸网络创建不同端点,在同一时间段向受害者域名服务器直接发送海量 DNS 请求。

这种攻击会在短时间内产生大量流量,利用无数请求堵塞 DNS 服务器,让其无法响应,从而达到拒绝正常用户访问的目的。

缓解措施

通过使用基于硬件的网络设备或云服务解决方案可以过滤或限制网络流量。在一场 naive DDoS 攻击中,攻击者不会欺骗源 IP,用于攻击的源数量也有限制。因此,限制策略可以是拦截攻击者使用的 IP。

2. IP 欺骗

DNS 默认依赖 UDP 协议,而由于 UDP 本身的特性导致,只需伪造数据包的 IP 地址,便可以轻易将源 IP 换成随机 IP。在这种情况下,拦截 IP 地址变成了无用功,我们需要求助于别的方案。

缓解措施

使用 DNS 缓存服务器吸收大部分的 DNS 流量。

DDoS 攻击者通常会使用不存在的域名以确保解析器会转发请求,已存在域名有可能会被保存在缓存中,这样的请求是不会被转发的。针对这种情况,我们建议在 DNS 缓存服务器中使用以下措施来限制来自不存在域名的 DNS 请求转发率。

如果传入请求的总数量超过阈值,则要求客户端从 UDP 切换到 TCP。切换后,由于 TCP 需要三次握手,则可以避免源 IP 欺骗。

下图显示了受到 Imperva 保护的权威 DNS 服务器在遭到一次 DDoS 攻击时的表现:

DNS 的 5 种攻击形式和应对举措

 

这次攻击持续了 24 小时,Imperva 的 DNS 代理通过过滤和限制传递到服务器的请求速率来缓解 DDoS 攻击。因此,服务器收到的请求速率没有超过配置阈值,超过这个限制的恶意流量会被拦截。

3. 反射型 DDoS

攻击者不仅会欺骗源 IP,连目的地 IP 也不会放过。来自正常 DNS 解析器的 DNS 回答会被发回给受害者(被欺骗的 IP),而不是原攻击者的 IP,从而导致受害者受到 DDoS 攻击。

DNS 的 5 种攻击形式和应对举措

 

这类攻击模式会放大 DDoS 的影响:黑客精心设计了能触发大量 DNS 回答的 DNS 请求,从而达到扩大伤害的效果。举例来说,“ANY”类请求或具有多个 DNS 记录的请求将触发大量 DNS 回答。

在这种情况下,合法的 DNS 服务器反而会协助攻击。

缓解措施

限制统一 IP 地址的 DNS 请求 / 回答速率。

因为 DNS 解析器会使用缓存,所以理论上来讲,请求转发率会十分低,一定的频率限制应当会有效。

下图显示了一位受到 Imperva 保护的客户基础架构,在遭到严重 DDoS 综合攻击后的表现:

DNS 的 5 种攻击形式和应对举措

 

在这次 DDoS 攻击中,黑客使用了两种不同方式:

  • 反射并放大 DNS 的 DDoS 攻击:70 Gbps 的 DNS 应答数据包,图中以黄色表示
  • UDP 欺骗 DDoS 攻击:30 Gbps 的 UDP 数据包,图中以蓝色表示

二者相结合,黑客成功实施了 100 Gbps 的 DDoS 攻击。

在这次攻击中,DNS 应答数据包平均是 1400 bytes,使得攻击的放大倍数为 20。通过利用 3.5 Gbps 带宽的 DNS 请求,黑客设法将 DNS 反射型 DDoS 攻击放大到 70 Gbps。反射型攻击方法非常普遍且强大。

4. 缓存投毒

与目标在于阻塞 DNS 服务器的 DDoS 攻击不同,缓存投毒的目标是将访客从真正的网站重定向到恶意网站。

DNS 的 5 种攻击形式和应对举措

 

攻击阶段

  1. 黑客发送 DNS 请求到 DNS 解析器,解析器会转发请求到 Root/TLD/ 权威 DNS 服务器并等待回答。
  2. 黑客随后发送大量包含恶意 IP 地址的投毒响应到 DNS 服务器。黑客需要抢在权威 DNS 回答之前用伪造响应命中正确的端口与查询 ID,这一步可以通过蛮力来提高成功机会。
  3. 任何正常用户请求该 DNS 解析器都会得到缓存中被投毒的响应,然后被重定向到恶意网站。

缓解措施

  • 使用 DNSSEC。DNSSEC 通过提供签名过的 DNS 回答来阻止这类攻击。使用 DNSSEC 的 DNS 解析器会验证其从 Root/Top Level Domain (TLD)/ 权威 DNS 服务器得到的签名响应。
  • 下列措施可以让黑客更难成功: 对每条请求使用随机查询 ID 对每条请求使用随机源端口 丢弃重复的转发请求 确保响应中所有区域均与请求相符合:query ID、name、class 和 type

详细清单请查看这篇文章。

结论

为确保网站的基础功能可以正常运转,网站管理者应确保DNS 服务能正常工作,并避免受到上述攻击。

原文地址:

https://www.imperva.com/blog/why-should-you-worry-about-dns-attacks/



Tags:DNS   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
如何清除您的 电脑的DNS 缓存 1.开始键+r开始键+R(Win+R) 2.输入:cmd 3.输入:ipconfig /flushdns...【详细内容】
2021-08-25  Tags: DNS  点击:(51)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  Tags: DNS  点击:(66)  评论:(0)  加入收藏
DNS系统的作用DNS系统在网络中的作用就是维护着一个地址数据库,其中记录了各种主机域名与IP地址的对应关系,以便为客户程序提供正向或反向的地址查询服务,即正向解析与反向解...【详细内容】
2021-06-10  Tags: DNS  点击:(113)  评论:(0)  加入收藏
作者:Draven 面向信仰编程为什么这么设计(Why’s THE Design)是一系列关于计算机领域中程序设计决策的文章,我们在这个系列的每一篇文章中都会提出一个具体的问题并从不同...【详细内容】
2021-04-13  Tags: DNS  点击:(234)  评论:(0)  加入收藏
全球统一的 DNS 是很权威,但是我们都知道“适合自己的,才是最好的”。很多时候,标准统一化的 DNS 并不能满足我们定制的需求,这个时候就需要 HTTPDNS 了。然而,我们信任的地址簿...【详细内容】
2021-04-09  Tags: DNS  点击:(212)  评论:(0)  加入收藏
一、前言之前在聊到 App 网络优化时,聊到通过 HTTPDNS 替换掉传统的 DNS 解析,来达到网络优化的效果。其中提到 DNS 解析,是支持 UDP 和 TCP 双协议的。但是细心的朋友通过 wir...【详细内容】
2020-11-26  Tags: DNS  点击:(92)  评论:(0)  加入收藏
众所周知,DNS 是一种非常基本的协议 / 服务,它让互联网用户和网络设备能发现使用人类可读的域名,而非纯数字 IP 地址的网站。AWS 的这篇文章详细解释了 DNS 的工作原理。如果 D...【详细内容】
2020-10-28  Tags: DNS  点击:(148)  评论:(0)  加入收藏
一、前言谈到优化,首先第一步,肯定是把一个大功能,拆分成一个个细小的环节,再单个拎出来找到可以优化的点,App 的网络优化也是如此。在 App 访问网络的时候,DNS 解析是网络请求的...【详细内容】
2020-10-27  Tags: DNS  点击:(92)  评论:(0)  加入收藏
dig 是一个强大而灵活的工具,用于查询域名系统(DNS)服务器。在这篇文章中,我们将深入了解它的工作原理以及它能告诉你什么。• 来源:linux.cn • 作者:Sandra Henry-stoc...【详细内容】
2020-08-12  Tags: DNS  点击:(53)  评论:(0)  加入收藏
使用 PDNS 为你的项目提供稳定可靠的域名系统(DNS)服务器。• 来源:linux.cn • 作者:Jonathan Garrido • 译者:geekpi •(本文字数:1711,阅读时长大约:2 分钟)几个...【详细内容】
2020-08-07  Tags: DNS  点击:(53)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(19)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(18)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(631)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条