DNS放大攻击原理及解决方法
2022-03-08
DNS放大和其他放大攻击一样,是一种反射攻击。在这种情况下,通过从DNS解析器向欺骗的IP地址引出响应来实现反射。所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。
在DNS放大攻击过程中,攻击者向打开的DNS解析程序发送一个具有伪造IP地址(受害者的)的DNS查询,提示其使用DNS响应回复该地址。由于发送了大量的假查询,并且有几个DNS解析程序同时回复,受害者的网络很容易被大量的DNS响应淹没。
放大反射攻击甚至更危险。“放大”是指引出与发送的原始分组请求不成比例的服务器响应。
为了放大DNS攻击,可以使用EDNS0 DNS协议扩展来发送每个DNS请求,该扩展允许大型DNS消息,或使用DNS安全扩展(DNSSEC)的加密功能来增加消息大小。还可以使用“ANY”类型的欺骗查询,其在单个请求中返回关于DNS区域的所有已知信息。
通过这些方法和其他方法,可以配置一个大约60字节的DNS请求消息,从而向目标服务器发出一个超过4000字节的响应消息——结果是70:1的放大系数。这将显著增加目标服务器接收的流量,并加快服务器资源耗尽的速度。
此外,DNS放大攻击通常通过一个或多个僵尸网络中继DNS请求- 大大...