摘要:互聯(lián)網(wǎng)上的DNS放大攻擊(DNS amplification attacks)急劇增長。這種攻擊是一種數(shù)據(jù)包的大量變體能夠產(chǎn)生針對一個目標的大量的虛假的通訊。這種虛假通訊的數(shù)量有多大?每秒鐘達數(shù)GB,...
與老式的“smurf attacks”攻擊非常相似,DNS放大攻擊使用針對無辜的第三方的欺騙性的數(shù)據(jù)包來放大通訊量,其目的是耗盡受害者的全部帶寬。但是,“smurf attacks”攻擊是向一個網(wǎng)絡(luò)廣播地址發(fā)送數(shù)據(jù)包以達到放大通訊的目的。DNS放大攻擊不包括廣播地址。相反,這種攻擊向互聯(lián)網(wǎng)上的一系列無辜的第三方DNS服務器發(fā)送小的和欺騙性的詢問信息。這些DNS服務器隨后將向表面上是提出查詢的那臺服務器發(fā)回大量的回復,導致通訊量的放大并且最終把攻擊目標淹沒。因為DNS是以無狀態(tài)的UDP數(shù)據(jù)包為基礎(chǔ)的,采取這種欺騙方式是司空見慣的。
這種攻擊主要依靠對DNS實施60個字節(jié)左右的查詢,回復最多可達512個字節(jié),從而使通訊量放大8.5倍。這對于攻擊者來說是不錯的,但是,仍沒有達到攻擊者希望得到了淹沒的水平。最近,攻擊者采用了一些更新的技術(shù)把目前的DNS放大攻擊提高了好幾倍。
當前許多DNS服務器支持EDNS。EDNS是DNS的一套擴大機制,RFC 2671對次有介紹。一些選擇能夠讓DNS回復超過512字節(jié)并且仍然使用UDP,如果要求者指出它能夠處理這樣大的DNS查詢的話。攻擊者已經(jīng)利用這種方法產(chǎn)生了大量的通訊。通過發(fā)送一個60個字節(jié)的查詢來獲取一個大約4000個字節(jié)的記錄,攻擊者能夠把通訊量放大66倍。一些這種性質(zhì)的攻擊已經(jīng)產(chǎn)生了每秒鐘許多GB的通訊量,對于某些目標的攻擊甚至超過了每秒鐘10GB的通訊量。
要實現(xiàn)這種攻擊,攻擊者首先要找到幾臺代表互聯(lián)網(wǎng)上的某個人實施循環(huán)查詢工作的第三方DNS服務器(大多數(shù)DNS服務器都有這種設(shè)置)。由于支持循環(huán)查詢,攻擊者可以向一臺DNS服務器發(fā)送一個查詢,這臺DNS服務器隨后把這個查詢(以循環(huán)的方式)發(fā)送給攻擊者選擇的一臺DNS服務器。接下來,攻擊者向這些服務器發(fā)送一個DNS記錄查詢,這個記錄是攻擊者在自己的DNS服務器上控制的。由于這些服務器被設(shè)置為循環(huán)查詢,這些第三方服務器就向攻擊者發(fā)回這些請求。攻擊者在DNS服務器上存儲了一個4000個字節(jié)的文本用于進行這種DNS放大攻擊。
現(xiàn)在,由于攻擊者已經(jīng)向第三方DNS服務器的緩存中加入了大量的記錄,攻擊者接下來向這些服務器發(fā)送DNS查詢信息(帶有啟用大量回復的EDNS選項),并采取欺騙手段讓那些DNS服務器認為這個查詢信息是從攻擊者希望攻擊的那個IP地址發(fā)出來的。這些第三方DNS服務器于是就用這個4000個字節(jié)的文本記錄進行回復,用大量的UDP數(shù)據(jù)包淹沒受害者。攻擊者向第三方DNS服務器發(fā)出數(shù)百萬小的和欺騙性的查詢信息,這些DNS服務器將用大量的DNS回復數(shù)據(jù)包淹沒那個受害者。
如何防御這種大規(guī)模攻擊呢?首先,保證你擁有足夠的帶寬承受小規(guī)模的洪水般的攻擊。一個單一的T1線路對于重要的互聯(lián)網(wǎng)連接是不夠的,因為任何惡意的腳本少年都可以消耗掉你的帶寬。如果你的連接不是執(zhí)行重要任務的,一條T1線路就夠了。否則,你就需要更多的帶寬以便承受小規(guī)模的洪水般的攻擊。不過,幾乎任何人都無法承受每秒鐘數(shù)GB的DNS放大攻擊。
因此,你要保證手邊有能夠與你的ISP隨時取得聯(lián)系的應急電話號碼。這樣,一旦發(fā)生這種攻擊,你可以馬上與ISP聯(lián)系,讓他們在上游過濾掉這種攻擊。要識別這種攻擊,你要查看包含DNS回復的大量通訊(源UDP端口53),特別是要查看那些擁有大量DNS記錄的端口。一些ISP已經(jīng)在其整個網(wǎng)絡(luò)上部署了傳感器以便檢測各種類型的早期大量通訊。這樣,你的ISP很可能在你發(fā)現(xiàn)這種攻擊之前就發(fā)現(xiàn)和避免了這種攻擊。你要問一下你的ISP是否擁有這個能力。
最后,為了幫助阻止惡意人員使用你的DNS服務器作為一個實施這種DNS放大攻擊的代理,你要保證你的可以從外部訪問的DNS服務器僅為你自己的網(wǎng)絡(luò)執(zhí)行循環(huán)查詢,不為任何互聯(lián)網(wǎng)上的地址進行這種查詢。大多數(shù)主要DNS服務器擁有限制循環(huán)查詢的能力,因此,它們僅接受某些網(wǎng)絡(luò)的查詢,比如你自己的網(wǎng)絡(luò)。通過阻止利用循環(huán)查詢裝載大型有害的DNS記錄,你就可以防止你的DNS服務器成為這個問題的一部分。
結(jié)束語:網(wǎng)絡(luò)攻擊越來越猖獗,對網(wǎng)絡(luò)安全造成了很大的威脅。對于任何黑客的惡意攻擊,都有辦法來防御,只要了解了他們的攻擊手段,具有豐富的網(wǎng)絡(luò)知識,就可以抵御黑客們的瘋狂攻擊。一些初學網(wǎng)絡(luò)的朋友也不必擔心,因為目前市場上也已推出許多網(wǎng)絡(luò)安全方案,以及各式防火墻,相信在不久的將來,網(wǎng)絡(luò)一定會是一個安全的信息傳輸媒體。特別需要強調(diào)的是,在任何時候都應將網(wǎng)絡(luò)安全教育放在整個安全體系的首位,努力提高所有網(wǎng)絡(luò)用戶的安全意識和基本防范技術(shù)。這對提高整個網(wǎng)絡(luò)的安全性有著十分重要的意義。
轉(zhuǎn)載請保留原文地址: http://jeyalandpromoters.com/show-269.html