遭遇DNS放大攻击解决方案.pdf

某客户遭遇DNS放大攻击 科来软件 网站： 1 DNS放大攻击的基本情况  DNS的基本原理 DNS是域名系统（domain name system）的缩写,DNS 服务器是域名管理系统，他的作用是把域名转换成网络中计 算机可识别的IP。 2 DNS放大攻击的基本情况  DNS放大攻击的基本原理 DNS放大攻击时一种新型的拒绝服务攻击，攻击者利用 僵尸网络中大量的被控主机，伪装成被攻击主机，在特定时 间点连续向多个允许递归查询的DNS服务器发送大量DNS服 务请求，迫使其提供应答服务，经DNS服务器放大后的大量 应答数据发送到被攻击主机，形成攻击流量，导致其无法提 供正常服务甚至瘫痪。 3 DNS放大攻击的基本情况  DNS放大攻击的特性 ①充分利用了DNS服务器的特性，作为黑客的“攻击放 大器”。 ②攻击流量大。2005年之前，攻击者能向DNS服务器 发出60个字节查询请求，返回512个字节的响应。现在通过 攻击可产生100G/S回应，这是非常致命的。 ③可依靠僵尸网络发布攻击，形成极大的攻击流量，本 身具有隐藏性。 4 案例分析 客户部署科来网络回溯分析系统后出现大量的可疑域名警报，图中 *.*.29.4为客户的DNS服务器，需要对外网提供DNS服务。 5 案例分析 45 （经查为美国IP）短时间内发出了大量的DNS请求， 请求的域名为dnsamplicationattacks.cc。（DNS Amplification Attacks字面意思就是DNS放大攻击。。。） 6 案例分析 45发出的请求包为101字节，DNS服务器返回的应答包 为445字节，从而使通信放大了4.4倍。 7 案例分析 攻击者利用大量被控主机向大量的DNS服务器发送DNS请求，但请求中 的源IP地址被伪造成被攻击者的IP （在本案例中为45）， 于是DNS服务器会向被攻击者返回查询结果，通常查询应答包会比查询 请求包大数倍甚至数十倍（在本案例中为4.4倍），攻击者由此将攻击 效果扩大了若干倍。在本案例中客户的DNS服务器被作为实施这种DNS 放大攻击的代理参与其中。 攻击者 被控主机 被攻击者 DNS服务器 45 *.*.29.4 8 谢谢 科来软件 电话：86-28 传真：86-28 网站： 9