网络安全 频道

让DNS服务器远离疯狂的DDoS攻击

  【IT168 技术】针对DNS的DDoS 攻击(分布式拒绝服务攻击)现已成为比较常见的极具破坏力的互联网攻击方式之一:

  ● 今年1月,国内出现大规模网站无法存取的事件,原因是DNS被劫持。当地用户连到许多以.com与.net为域名的网站时,会被导引到美国Dynamic Internet Technologies公司的IP地址。

   3月初,谷歌提供给大众的公用DNS服务器8.8.8.8,遭到DNS劫持的持续时间长达22分钟,当时所有使用该DNS服务的网络流量都被绑架,传到巴西和委内瑞拉境内。

   3月底、4月初,谷歌DNS服务又发生遭到土耳其网络供货商的拦截事件。对方设立了DNS服务器假装是谷歌DNS,挟持当地的网络联机使用假冒的谷歌DNS。

  总体而言,DNS攻击事件未来仍将不断发生,而且遭遇的频率将越来越频繁,又很难预防与实时反应。他们是如何实施攻击的?我们又该如何防范呢?

让DNS服务器远离疯狂的DDoS攻击
▲服务器被DDoS攻击情景示意图

  欺骗式攻击

  利用DNS基础架构来制造DDoS攻击其实相当容易:攻击者向互联网上的域名服务器发送请求,然后域名服务器做出反应。

  攻击者伪装成目标对象的地址而不是基于自身IP地址来发送请求,这些目标对象包括:网页服务器、路由器、另外一个域名服务器、或者互联网上的任何一个节点。

  DNS欺骗请求相当容易,因为这些请求通常通过UDP(无连接用户数据报协议)进行传输。从任意IP地址发送DNS请求相当简单,如同在明信片上写上回信地址一样。

  尽管容易,欺骗请求还不足以使攻击对象瘫痪,如果对这些请求的回应并不比这些请求自身大的话,攻击者将把大量欺骗请求发送到目标对象上。为了最大限度的对目标对象造成伤害,对每个查询应该获得一个非常大的回应,才可以轻松造成影响。

  采用DNS扩展名机制 (EDNS0)后,DNS自1999年以来得到了极大扩展,基于UDP 的DNS信息已经可以携带大量数据。一个回应便能达到4096个字节,而绝大多数请求则在长度上不超过100 个字节。

  较早之前,要在互联网Namespace里找到一个较大的回应相对困难,但是现在,各大企业已经开始部署DNSSEC(域名系统安全扩展),实现较大回应已经变得很容易。DNSSEC将密钥和数字签名存储在Namespace里记录在册,这些都会起到积极作用。

  现在,充斥网络的图片攻击者正在从你的网页服务器IP地址上向isc.org 域名服务器发送欺骗请求。每个44字节请求,你的网页服务器都会收到4077字节的回应,增大了近93倍。

  现在让我们快速计算一下,就能知道这种状况有多糟。假设每个攻击者接入互联网的带宽都是1Mbps,每秒他可以发出2840条44字节的请求,那这个请求数据流就会带来近93Mbps的流量送达你的网页服务器,而每11次攻击就会达到1G。

  那么,那些反社会的攻击者到哪里去找到这10个帮凶来共同完成这次攻击呢?事实上,他们不需要找任何人,他们会用到一种由成千上万台电脑组成的僵尸网络来完成攻击。

  结果是毁灭性的。在一家DDoS攻击缓解公司Prolexic发布的全球DDoS攻击季报中我们可以看到,最新发现的一个基于DNS的客户受攻击案例,其流量达到了167Gbps,此外,Prolexic 在报告中还指出,DDoS攻击所占用的带宽平均每个季度已经增加了 718 %,达到48Gbps。

  但是,我们能不能对isc.org域名服务器进行修正,让它能够识别来自同一IP地址的相同数据在不停发送请求呢?难道这些攻击真的无法遏制吗?

  当然能,但绝非只有isc.org域名服务器才可以被攻击者利用来放大攻击流量,还有其他权威域名服务器,但受此影响最大的要算是开放式递归域名服务器了。

  开放式递归域名服务器就是一种简单的域名服务器,它可以对任一IP地址发来的递归请求进行处理。我可以把请求 forisc.org的数据发给它,然后它会给我一回应,你也可以做。

  互联网上不应有太多开放式递归域名服务器。递归域名服务器的作用,就是代表DNS用户在互联网Namespace上查询数据,就如同在笔记本电脑或者智能手机上查询数据那样。通常情况下,网管员建立递归域名服务器,供某一特定群体使用(就像您以及您的团队)。除非这些社区使用的是OpenDNS 和谷歌公共DNS,但设置这样的公共开放式DNS服务,其目的并不是供诸如摩尔多瓦这样的国家来使用。那些具有公众精神、安全意识且能力最强的管理员,可以在他们的递归域名服务器上设置接入控制,以此来限制对授权系统的使用。

  既然如此,究竟多大的问题,我们才可以启用递归域名服务器呢?答案是很大。Open Resolver Project收集了总共3300万个开放式递归域名服务器的名单。黑客们可以向许多服务器发送欺骗请求,是因为他们更愿意将isc.org数据注入你的网页服务器、域名服务器、边界路由器并最终导致他们瘫痪。

  以上就是基于DNS的DDoS攻击的工作原理,但谢天谢地,我们还是有一些方法来与它们相抗衡的。  

0
相关文章