目前越來越多的伺服器被DDOS流量攻擊,尤其近幾年的DNS流量攻擊呈現快速增長的趨勢,DNS閱聽人較廣,存在漏洞,容易遭受到攻擊者的利用,關于DNS流量攻擊的詳情,我們來大體的分析一下,通過我們SINE安全這幾年的安全監控大資料來看清DNS的攻擊。一種是DNS路由劫持攻擊,一種是DNS流量放大攻擊。
DNS緩存攻擊以及劫持路由分析
伺服器的攻擊者會劫持路由進行DNS緩存攻擊,當發送一個請求包或者是打開一個網站的時候就會去找就近的路由,簡單來說就是網站劫持,打個比方當一個通路者去請求SINE安全官網的時候,中專路由如果被劫持,那麼就會把一個不是SINE安全的IP,傳回給你,這個IP可以是攻擊者惡意構造的,當你不小心通路了,并且輸入了使用者名以及密碼,這些資訊都會被攻擊者所掌握。也就是密碼資訊被劫持了。
那麼如何來檢測這種DNS路由劫持的攻擊呢?
在正常的一些情況下,我們的DNS伺服器與我們網站域名的解析IP,都是保持同步的,都會一緻,當你通路一個網站或者其他域名的時候,發現打開的都是一個頁面或者是解析到了一個IP上,基本上就可以斷定DNS被劫持了,可以使用域名解析工具來檢查問題。
DNS伺服器也會有漏洞,一般是在區域傳送中發生,目前很多DNS的伺服器都被預設的配置成了當有通路請求的時候,會自動傳回一個域名資料庫的所有資訊,造成了可以任意的執行DNS域傳送的解析操作,攻擊使用的大多數是TCP協定進行傳輸攻擊。
DNS流量攻擊英文名也稱為DNS Amplification Attack,使用的是回複域名請求資料包加大的方式将請求的流量,進行放大化,明明10G的資料包會放大成100G,資料量越來越大,攻擊者的IP也都是僞造的,并反向給受害IP,導緻造成DNS流量放大攻擊,檢視伺服器的CPU是否占用到百分之80到99之間,看回複的資料包裡的recursion資料是否為1,以及ANT參數的合法值,資料包的大小也可以看出攻擊的特征,傳回的資料包大于請求資料包。
DNS流量攻擊都是使用的攻擊者帶寬與網站伺服器的帶寬的差異進行的,當攻擊者帶寬以及攻擊數量加大時,就會對伺服器造成影響,發送請求查詢資料包,正常發送1個請求,就會放大成10個請求,攻擊者的數量越多,流量越大,受攻擊的網站以及伺服器就承載不了這麼大的帶寬了。
DNS流量攻擊如何防護?
網站以及伺服器的營運者,使用的帶寬都是有限的,一般都是1-50M,之間或者有些到100M,但是當受到大流量攻擊的時候,根本承受不住,伺服器繼而癱瘓,一般防護的安全政策使用伺服器的硬體防火牆去抗流量攻擊,再一個可以使用CDN,隐藏伺服器的真實IP,讓CDN去分擔流量攻擊,如果對流量攻擊防護不是太懂的話可以找專業的網站安全公司來處了解決。