目前,越来越多的服务器受到DDOS流量的攻击,尤其是近年来,DNS流量攻击呈现快速增长的趋势。DNS受众广泛,存在漏洞,很容易被攻击者利用。对于DNS流量攻击的细节,我们来做一个大概的分析,通过我们这几年的SINE安全监控大数据看清楚DNS攻击。一种是DNS路由劫持攻击,另一种是DNS流量放大攻击。
DNS缓存攻击和劫持路由分析
服务器攻击者将劫持路由进行DNS缓存攻击。当发送请求包或打开网站时,他会寻找最近的路线。简单来说就是网站劫持。比如,当一个访问者要求访问一个安全的SINE官网时,如果中学路由被劫持,它会返回一个SINE不安全的IP给你。攻击者可以恶意构建这个IP。当你不小心访问并输入用户名和密码时,这些信息就会被攻击者捕获。也就是密码信息被劫持了。
那么如何检测这种DNS路由劫持的攻击呢?
一般情况下,我们的DNS服务器和我们网站的域名解析IP是同步的,会保持一致。当你访问一个网站或其他域名时,你会发现所有的页面都被打开或解析到一个IP。基本上可以断定DNS被劫持了。您可以使用域名解析工具来检查问题。
DNS服务器也有漏洞,一般出现在区域传输中。目前很多DNS服务器默认配置为有访问请求时自动返回一个域名数据库的所有信息,这就使得任意进行DNS域传输的解析操作成为可能。大多数攻击使用TCP协议进行传输攻击。
DNS流量攻击的英文名称,也称为DNS放大攻击,通过响应域名请求包的增大来放大请求的流量。很明显,10G的数据包会被放大到100G,数据量会越来越大,而且攻击者的IP也是伪造的,发回给受害者IP,造成DNS流量放大攻击。检查服务器的CPU占用是否在80%-99%之间,应答包中的递归数据是否为1,ANT参数的合法值。数据包的大小也显示了攻击的特征,返回的数据包大于请求的数据包。
DNS流量攻击是利用攻击者的带宽和网站服务器的带宽之差进行的。当攻击者的带宽和攻击次数增加时,就会影响到服务器。如果你发送一个请求查询包,一个请求通常会被放大到10个请求。攻击者越多,流量越大,被攻击的网站和服务器将无法承受这么大的带宽。
如何保护DNS流量攻击?
以及网站服务器的运营商,使用的带宽有限,一般在1-50M到100M。但是当被大流量攻击时,服务器根本承受不了,然后服务器就瘫痪了。一般安全策略使用服务器的硬件防火墙来抵御流量攻击。还有一种可以利用CDN隐藏服务器的真实IP,让CDN分担流量攻击。如果不太了解流量攻击防护,可以找专业的网站安全公司来处理。
