DNS flood攻击分析

DNS request flood
黑客控制僵尸网络向DNS服务器发送大量不存在的域名的解析请求，最终导致服务器因大量DNS请求而超载。
1.TC源认证
①客户端发送的DNS请求报文长度超过告警阈值，启动源认证机制。
②拦截DNS请求，将TC标志位置为1并进行回应，要求客户端以TCP方式重新发起DNS查询。
③如果这个源是虚假源，则不会正常响应这个DNS回应报文，更不会重新通过TCP方式重新进行DNS查询。
④如果是真实客户端，则会重新发送SYN报文，请求建立三次握手。
⑤系统对客户端源进行TCP层面的认证。源认证通过，客户端源IP加入白名单。
⑥客户端重新请求建立三次握手，系统将客户端第二次发送的三次握手请求直接放行，送给服务器。
⑦客户端与服务器之间建立三次握手成功，并通过TCP方式完成本次DNS查询。
适用于客户端是浏览器的认证方式。有些客户端不支持通过TCP方式进行DNS查询。
2.被动防御
系统利用DNS协议的重传机制，不对DNS查询报文进行反弹，而是直接不处置，直接丢弃，然后看客户端是否重传。
①Anti-DDoS系统在第一次收到DNS请求后，就会记录DNS请求的域名、源IP等基本信息，并HASH成一个值，记录到系统一张表里。
②后续一定时间戳内，如果再收到这个HASH值相同的DNS请求，就认定为重传包，放行。时间戳会随着收到的每一个相同HASH值的DNS请求包而不断的刷新。
适用于攻击源不断变化的DNS请求攻击
3.CNAME模式
DNS协议中，允许将多个域名映射到同一个IP地址，此时可以将一个域名做A记录指向服务器IP，然后将其他域名作为别名，指向之前做A记录的域名上。这样类型的存在是为了解决IP地址变更时，不必一个一个域名做更改指向。只需要更改A记录的那个域名到新IP上，其他别名将自动更改到新IP地址上。
①流量达到阈值，系统启动源认证，对请求报文进行重定向。
②如果是真实源，会正常响应源认证报文。
③认证通过的源，系统对此源记录进白名单，后续这个源发送的请求将被直接通过。
④如果是虚假源，不会正常响应源认证报文，发送的请求也不会到达授权服务器。
DNS Reply Flood
DNS查询过程通常都是基于UDP协议的，UDP协议是无连接状态的。所以这一弱点很容易被黑客所利用，DNS服务器收到DNS reply报文时，不管自己有没有发出去过解析请求，都会对这些DNS reply报文进行处理。DNS reply flood就是黑客发送大量的DNS reply报文到DNS缓存服务器，导致缓存服务器因为处理这些DNS reply报文而资源耗尽，影响正常业务。
DNS reply flood大多都是虚假源攻击，黑客控制僵尸主机发出的DNS reply报文的源IP地址通常都是伪造的，是不存在的。所以在防御的时候，就可以从回应源IP地址的真假性入手，判定这个源IP是否是真实源。
在这里插入图片描述

一般可使用源认证方式进行防御。源认证的方法就是构造一个DNS request报文，看客户端是否能正常回应。
①Anti-DDoS系统部署在防护目标前，并对到达防护目标的DNS reply报文进行统计。当到达防护目标的DNS reply报文超过告警阈值时，Anti-DDoS系统启动防御。
②Anti-DDoS系统收到某个源IP地址发来的DNS reply报文后，会重新构造一个新的DNS request报文，然后记录构造查询报文的Query ID和源端口号。
③如果是虚假源，则不会对这个DNS request报文进行回应，认证不通过。
④如果是真实DNS授权服务器，则会重新回应DNS reply报文。
⑤Anti-DDoS系统收到DNS reply报文后，会与之前记录的Query ID和源端口号进行匹配。如果完全一致，则判定此DNS reply报文就是反弹DNS request报文的回应，源认证成功，加入白名单。
⑥后续这个源再发送的DNS reply报文，直接通过，直到白名单老化。
DNS反射攻击
DNS服务器是互联网最基础的设施之一，网络中有很多开放的免费DNS服务器。DNS反射攻击正是利用这些开放的DNS服务器制造的攻击。这种DNS反射攻击通常比普通的DNS reply flood攻击性更强，追踪溯源困难，更善于伪装。
黑客将自己的源IP地址伪造成被攻击目标的IP地址，然后向一系列网络中开放的DNS服务器发送大量的查询请求。通过伪造DNS请求报文的源IP地址，控制DNS回应报文的流向，这些DNS回应报文就会都被引导到被攻击目标，导致被攻击目标的网络拥塞，拒绝服务。而开放式的DNS服务器在全球有超过几千万台，这些服务器接入带宽往往都比较高，而且，DNS reply报文大小通常也是DNS request报文的几倍甚至几十倍，还可达到放大攻击的效果。对于控制成千上万台僵尸主机的黑客来说，制造几G乃至数十G的DNS攻击流量并不太困难。
DNS反射攻击和前面介绍的传统DNS reply flood有两点本质的不同：
1、传统DNS reply flood一般攻击目标是DNS缓存服务器；而DNS反射攻击一般攻击目标是客户端。
2、传统DNS reply flood大多是虚假源攻击，而DNS反射攻击中，DNS请求是真实的，所以DNS回应报文也都是真实的，是由网络中真实的DNS服务器发出的，属于真实源攻击。这种情况下，再使用前面刚讲过的源认证方式，对于DNS反射攻击就不适用了。—明辰智航云安网络与虚拟化性能管理系统

DNS flood攻击分析相关推荐

基于知识图谱的DNS Query Flood攻击检测研究
摘要: 摘要: 针对具有成本低廉.破坏性大.防御困难特性的DNS Query Flood攻击,本文构建UDP请求的知识图谱.基于攻击者通过发送大量伪造源IP地址的小UDP包冲击DNS服务器实施攻击的原 ...
DDOS SYN Flood攻击、DNS Query Flood， CC攻击简介——ddos攻击打死给钱。限网吧、黄网、博彩，，，好熟悉的感觉有木有...
摘自:https://zhuanlan.zhihu.com/p/22953451 首先我们说说ddos攻击方式,记住一句话,这是一个世界级的难题并没有解决办法只能缓解 DDoS(Distributed ...
DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点，放大流量，伪造请求包的源IP地址为受害者IP，将应答包的流量引入受害的服务器...
DNS反射放大攻击分析摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E ...
第33篇：DNS劫持攻击原理讲解及溯源分析的常规步骤
Part1 前言在世界杯举办期间,DNS劫持事件估计会和链路劫持事件一样,风险提升很多.上期分享了一篇<第32篇:某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)>,本期就讲一 ...
dns隧道攻击原理及常用工具流量分析
今天看到一个关于Lyceum组织的文章,这个组织擅长使用dns隧道攻击,这种攻击方式还是头一次听说,于是搜集了一些文章来看看. 原文https://www.cnblogs.com/HighnessDr ...
2019年上半年 DDOS流量攻击分析以及解决方案
2019独角兽企业重金招聘Python工程师标准>>> 从2019年初到今天的6月,已经过来大半年了,DDOS流量攻击越来越频繁,在2月份的时候外部公开了一个新型的DDOS攻击网络, ...
TCP Flood攻击实验
本实验方法一定不要用来攻击公网的服务器,仅能在自己的虚拟机里进行操作!不然可能构成违法行为,大家一定注意!!!!!!!!!!! 实验准备: 两台虚拟机,Kali和windows 2016 server ...
UDP Flood攻击实验
本实验方法一定不要用来攻击公网的服务器,仅能在自己的虚拟机里进行操作!不然可能构成违法行为,大家一定注意!!!!! 实验准备: Kali虚拟机: win10虚拟机: Win 2016 servers虚 ...
详解SYN Flood攻击原理与防范
详解SYN Flood攻击原理与防范 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,它是利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被 ...

DNS flood攻击分析

DNS flood攻击分析相关推荐

最新文章

热门文章