DNS放大攻击的研究.pptVIP

一、分布式拒绝服务攻击 1.1 分布式拒绝服务攻击的原理 分布式拒绝服务攻击是当前黑客采取的一个重要手段， 他通过向互联网的一些重要系统（如：金融网站、政府网站 发出大量数据包，使目标主机无法向外提供正常服务。 ① 简单的单机洪水攻击方式。 ② 集中大量僵尸主机发动分布式攻击。（DDOS攻击） DDOS攻击会造成怎样的危害 1.2 分布式拒绝服务攻击的类型 ①带宽资源耗尽型：堵塞目标网络的出口，导致带宽消 耗，不能提供正常的网络服务。（如：smurf攻击） 1.2 分布式拒绝服务攻击的类型（续） ②计算资源耗尽型：利用服务器的处理缺陷，消耗目标 服务器的关键资源CPU、内存等（如：syn flood攻击）。 syn flood攻击是利用TCP/IP协议的固有漏洞，面向连 接的TCP三次握手是syn flood存在的基础。 二、DNS放大攻击的基本情况 2.1 DNS的基本原理 DNS是域名系统（domain name system）的缩写,DNS 服务器是域名管理系统，他的作用是把域名转换成网络中计 算机可识别的IP。 2.2 DNS放大攻击的基本原理 DNS放大攻击时一种新型的拒绝服务攻击，攻击者利用 僵尸网络中大量的被控主机，伪装成被攻击主机，在特定时 间点连续向多个允许递归查询的DNS服务器发送大量DNS服 务请求，迫使其提供应答服务，经DNS服务器放大后的大量 应答数据发送到被攻击主机，形成攻击流量，导致其无法提 供正常服务甚至瘫痪。 2.3 DNS放大攻击的特性 ①充分利用了DNS服务器的特性，作为黑客的“攻击放 大器”。 ②攻击流量大。2005年之前，攻击者能向DNS服务器 发出60个字节查询请求，返回512个字节的响应。现在通过 攻击可产生100G/S回应，这是非常致命的。 ③可依靠僵尸网络发布攻击，形成极大的攻击流量，本 身具有隐藏性。 三、DNS放大攻击对网络的危害 攻击流量大、影响面广、隐蔽性强、难以捉摸、可造成 网络瘫痪、没有强有力的预防措施。 2009年5月19日，网络黑客利用DDOS攻击暴风影音的 域名解析系统，导致运营商递归域名解析服务器拥塞，江苏 河北、山西、广西、浙江等省陆续出现互联网故障，进而使 得大规模网民无法上网。 四、DNS放大攻击的建议 ①对于核心网站、新闻网站、政府网站要加大综合防护措 施。 ②运营商要采取有力的DNS服务器安全管理。 ③加大僵尸网络的打击力度。 ④开发更加完善的域名解析系统。克服它的先天缺陷性。 五、参考文献 ① DNS放大攻击的研究.刘威.技术研究.2010 ② 百度百科 ③ 百度文库 谢谢大家！ 瞬间产生极大流量，造成被攻击网站资源耗尽，从而无法提供服务。而且攻击包的源IP具有随机伪造性。“肉机”分布在不同地方，追踪调查难度很大。 黑客 受攻击目标 服务器 PC 导致服务器瘫痪，救命啊！ 针对此类攻击一般是在路由器和 防火墙上限制流量，加入一些过 滤机制，这类攻击一般容易识别 客户端 syn 1 Syn+ack 2 ack 3 服务器 TCP三次握手 问题正在于此 域名 如：”” DNS IP 地址 如：“40” 恶意攻击者可通过DNS劫持，将人们引诱到 假冒的银行网站，欺骗用户泄露自己的账号 密码。也有一些恶意代码的网站，使得病毒 植入到计算机中。 攻击者 被控主机 被攻击者 DNS服务器 通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。