DNS放大攻击的研究.docxVIP

??

?

??

DNS放大攻击的研究

?

?

?

?

?

??

?

?

?

摘要：随着信息网络安全的发展，互联网上出现了一种新的分布式拒绝服务攻击方式一DNA放大攻击，这种攻击能利用DNs协议的漏洞产生大量虚假通讯，对互联网构成重大威胁。本文介绍了DNS放大攻击的原理，研究了DNS放大攻击的特点和造成的主要危害，并提出防范策略。

关键词：DNS放大攻击；递归查询；DNS服务；僵尸网络

TP393.08：A

1分布式拒绝服务攻击

1.1分布式拒绝服务攻击的原理拒绝服务攻击是当前黑客采用的一种重要攻击手段，它通过对互联网上的政府网站、金融网站、信息门户网站、在线交易网站、企业门户和电子政务系统等重要系统发出大量的数据包，使目标主机无法对外提供正常服务。开始多采取简单的单机洪水攻击方式，随着互联网用户的快速增长和僵尸网络控制技术的迅速发展，集中大量僵尸主机发动分布式拒绝服务攻击，即DDOS攻击成为可能，这种攻击能够瞬间产生极大的流量造成被攻击网站带宽资源耗尽，从而无法对外提供任何服务。由于分布式拒绝服务攻击能够使用多种类型的网络协议输送流量，攻击包的源IP具有随机伪造性，并且实施攻击的“肉鸡”分布在不同省份甚至是在境外，所以在短期内几乎没有追查并切断攻击源的可能性。

1.2分布式拒绝服务攻击的类型

从目前来看，分布式拒绝服务攻击有两种类型，分别为带宽资源耗尽型和计算资源耗尽型。

1.2.1带宽资源耗尽型

带宽资源耗尽型主要是堵塞目标网络的出口，导致带宽消耗不能提供正常的网络服务，这类攻击以Smurf攻击、UDPFlood攻击、MStreamFlood攻击等为代表。针对此类攻击一般采取的措施是在路由器或防火墙上限制流量，从而保证正常带宽，单纯带宽耗尽型攻击比较容易被识别和阻挡。

1.2.2计算资源耗尽型

计算资源耗尽型是攻击者利用服务器处理缺陷，消耗目标服务器的关键资源，例如CPU、内存等，导致其无法提供正常服务，这类攻击以SynFlood攻击、NAPTHA攻击等为代表。资源耗尽型攻击利用系统对正常网络协议处理的缺陷，使系统难于分辨正常流和攻击流，导致防范难度较大，是目前业界比较关注的焦点问题。

1.3分布式拒绝服务攻击的现状

从2000年以来，每两年就有影响巨大的大规模分布式拒绝服务攻击事件发生：2000年，Yahoo、eBay、Buy．com、C[来自www.lW5U.coM]NN等著名商业网站曾连续遭到分布式拒绝服务攻击，造成的损失达数十亿美元；2002年，全球13台互联网域名解析服务器遭到分布式拒绝服务攻击，险些导致全球互联网崩溃；2004年，腾讯、江民、新浪等国内知名网站也陆续被有组织的黑客人侵或遭受严重的分布式拒绝服务攻击，遭受重大损失；2006年，百度、万网、新网等知名网站因遭遇大规模的分布式拒绝服务攻击一度停止服务；2008年，奥运信息网络安全指挥部将分布式拒绝服务攻击作为奥运会核心网络和重要信息系统的重大安全隐患，制定专项应急处置预案；2009年5月19日，由于暴风影音网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量请求而引发拥塞，江苏、河北、山西、广西、浙江等省陆续出现互联网网络故障，部分互联网用户的服务受到影响。由此可见，分布式拒绝服务攻击已经对我国信息网络安全构成极大威胁。

2DNS放大攻击的基本情况

2.1DNS协议的基本原理

域名解析协议是一种非常重要的互联网基础协议，其核心作用是为域名查找请求提供对应的IP地址，它可以将域名和IP地址相互映射，建立分布式数据库，使用户通过容易记忆的域名方便地访问互联网，而不用去记忆能被机器直接读取的IP地址。

与主机表不一样，DNS服务器中的映射文件只包含有限的信息，当DNS服务器得到对某个主机的请求，而要求解析的主机地址不在缓冲区时，DNS服务器会向上一级服务器发送查询请求，更新DNS映射列表，来实现域名解析，这个过程就是DNS的递归查询。

DNS协议在网络中是如此重要，但由于在最初设计时没有考虑它的安全问题，导致其存在很多安全漏洞，具有先天的脆弱性。恶意攻击者可以通过DNS劫持将人们引诱到假冒的银行网站或商业网站上，欺骗用户泄漏自己的银行账户密码等资料；可以采取DNS欺骗的方式将用户引导到包含恶意代码的网页；甚至还能利用它来进行DDOS攻击。

2.2DNS放大攻击的基本原理

DNS放大攻击是一种新型的拒绝服务攻击，攻击者利用僵尸网络中大量的被控主机，伪装成被攻击主机，在特定的时间点上，连续向多个允许递归查询的DNS服务器发送大量的DNS查询请求，迫使其提供应答服务，经DNS服务器放大后的大量应答数据发送到被攻击主机，形成攻击流量，导致其无法提供正常服务甚至瘫痪。

如图2所示，要实现这种攻