- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
遭遇DNS放大攻击解决方案.pdf
某客户遭遇DNS放大攻击
科来软件
网站:
1
DNS放大攻击的基本情况
DNS的基本原理
DNS是域名系统(domain name system)的缩写,DNS
服务器是域名管理系统,他的作用是把域名转换成网络中计
算机可识别的IP。
2
DNS放大攻击的基本情况
DNS放大攻击的基本原理
DNS放大攻击时一种新型的拒绝服务攻击,攻击者利用
僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时
间点连续向多个允许递归查询的DNS服务器发送大量DNS服
务请求,迫使其提供应答服务,经DNS服务器放大后的大量
应答数据发送到被攻击主机,形成攻击流量,导致其无法提
供正常服务甚至瘫痪。
3
DNS放大攻击的基本情况
DNS放大攻击的特性
①充分利用了DNS服务器的特性,作为黑客的“攻击放
大器”。
②攻击流量大。2005年之前,攻击者能向DNS服务器
发出60个字节查询请求,返回512个字节的响应。现在通过
攻击可产生100G/S回应,这是非常致命的。
③可依靠僵尸网络发布攻击,形成极大的攻击流量,本
身具有隐藏性。
4
案例分析
客户部署科来网络回溯分析系统后出现大量的可疑域名警报,图中
*.*.29.4为客户的DNS服务器,需要对外网提供DNS服务。
5
案例分析
45 (经查为美国IP)短时间内发出了大量的DNS请求,
请求的域名为dnsamplicationattacks.cc。(DNS Amplification
Attacks字面意思就是DNS放大攻击。。。)
6
案例分析
45发出的请求包为101字节,DNS服务器返回的应答包
为445字节,从而使通信放大了4.4倍。
7
案例分析
攻击者利用大量被控主机向大量的DNS服务器发送DNS请求,但请求中
的源IP地址被伪造成被攻击者的IP (在本案例中为45),
于是DNS服务器会向被攻击者返回查询结果,通常查询应答包会比查询
请求包大数倍甚至数十倍(在本案例中为4.4倍),攻击者由此将攻击
效果扩大了若干倍。在本案例中客户的DNS服务器被作为实施这种DNS
放大攻击的代理参与其中。
攻击者 被控主机 被攻击者
DNS服务器 45
*.*.29.4
8
谢谢
科来软件
电话:86-28
传真:86-28
网站:
9
文档评论(0)