DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器...
DNS反射放大攻击分析
摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E5%8D%95%E5%88%86%E6%9E%90/
简介
DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器。
简单对比下正常的DNS查询和攻击者的攻击方式:
正常DNS查询:
源IP地址 —–DNS查询—-> DNS服务器 —–DNS回复包—-> 源IP地址DNS攻击:
伪造IP地址 —–DNS查询—-> DNS服务器 —–DNS回复包—-> 伪造的IP地址(攻击目标)
分析
从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点。
- 全部是大量的DNS响应请求(Response请求)
- 通常里面包含一些不存在或者生僻的域名,经过循环查询从而放大DNS流量
- 会将将 OPT RR 字段中的 UDP 报文大小设置为很大的值(如 4096)
通过这样放大了攻击流量。发送的 DNS 查询请求数据包大小一般为 60 字节左右,而查询返回结果的数据包大小通常为 3000 字节以上,因此,使用该方式进行放大攻击能够达到 50 倍以上的放大效果。
- 大量的流量都来自正常的DNS服务器
攻击者通过伪造IP向正常的DNS服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实IP
解决方案
- 如果没有必要可以关闭DNS服务(废话么不是
- 如果有DNS服务,做好响应限制,DNS服务不应对互联网上的域名解析服务,而只响公司内部网络DNS解析请求
- 限制DNS响应数据包大小的阈值,直接丢弃超大的响应数据包
DNS反射放大攻击
- DNS反射放大攻击的原理也是类似的。网络上有大量的开放DNS解析服务器,它们会响应来自任何地址的解析请求。我们发出的解析请求长度是很小的,但是收到的结果却是非常大的,尤其是查询某一域名所有类型的DNS记录时,返回的数据量就更大,于是可以利用这些解析服务器来攻击某个目标地址的服务器,而且是利用被控制的机器发起伪造的解析请求,然后解析结果返回给被攻击目标。由于DNS解析一般是UDP请求,不需要握手,源地址属性易于伪造,而且部分“肉鸡”在平时本来就是合法的IP地址,我们很难验证请求的真实性和合法性。DNSSEC是一种可以防止缓存投毒的机制,另外,如果DNS本身抗压能力不行,而且对方请求量过大的话,也会影响到DNS本身的服务。目前此类攻击的规模在数百Gbps级别。
转载于:https://www.cnblogs.com/bonelee/p/7271984.html
DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器...相关推荐
- IP协议 (通俗易懂),IP协议的主要功能及实现原理,IP地址分类,IP数据包分片,IP数据报格式。
「作者主页」:士别三日wyx 「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「专栏简介」:此文章已录入专栏<计算机网络零基础快速入门> 本章重 ...
- 【GPRS IP地址】GPRS IP地址的问题
http://www.gongkong.com/webpage/forum/200406/2-AF42-F296B18EA42D-1.shtml 呵呵,也不一定是DHCP分配的啦,GGSN可以内部维护 ...
- linux下dhcp服务器分配出去的IP地址及剩余IP地址
我认为有2种办法 1.你可以查看防火墙信息,如图,可以清晰的看到,192.1681.200的IP给了哪个MAC地址 2. /var/lib/dhcpd/dhcpd.leases 这个文件专门记录了D ...
- 查看linux下dhcp服务器分配出去的IP地址及剩余IP地址
1.你可以查看防火墙信息,如图,可以清晰的看到,192.1681.200的IP给了哪个MAC地址 2. /var/lib/dhcpd/dhcpd.leases 这个文件专门记录了DHCP的分配情况 一 ...
- Linux配置多网口IP地址,linux配置ip 多个网口
SCC(超级计算集群)简介 SCC概述 超级计算集群(Super Computing Cluster,SCC)使用高速RDMA网络互联的CPU以及GPU等异构加速设备,面向高性能计算.人工智能/机器学 ...
- 2023-5-7 什么是公网、内网、局域网、广域网、互联网?已经有了mac地址为什么还需要ip地址?使用ip地址是如何进行构建互联网的?
2023-5-7 什么是公网.内网.局域网.广域网.互联网?已经有了mac地址为什么还需要ip地址?使用ip地址是如何进行构建互联网的?什么是内网穿透? 文章目录 2023-5-7 什么是公网.内网. ...
- 公共IP地址、私有IP地址、NAT技术
1.公共IP地址和私有IP地址的区别? 在 Internet 上存在数量有限的 IP 地址,这些能在Intenet上使用的地址被称为公共IP地址,且IP地址必须是唯一的 但是私有IP地址就是例外,这些 ...
- Linux Red Hat 6.0 配置网卡ip地址和备用ip地址
Linux Red Hat 6.0 配置ip地址和配用ip地址 1.使用vim编辑器打开网卡配置文件 root#vim /etc/sysconfig/network-scripts/ifcfg-eth ...
- 统计两个IP地址之间的IP个数
问题 求两个IP地址之间的IP个数,例如192.18.16.1~192.18.16.5,2001:DB8:0000:0023:0008:0800:200C:417C~2001:DB8:0:23:8:8 ...
最新文章
- java与数据结构(4)---java实现双向循环链表
- setfacl 权限导出_Linux如何使用setfacl命令创建权限文件
- gitlab 开源项目 星_Docker实战之Gitlab搭建
- pythonimport是拷贝_02Python学习笔记之二.一【import、==和is、深浅拷贝】2019-08-17
- django URL路由基础
- eureka上的微服务不能通过服务名调用_掌门教育微服务体系 Solar | 阿里巴巴 Nacos 企业级落地上篇...
- JAVA 【引用类型】和【对象类型】在【继承】中的异同
- 1000道Python题库系列分享22(40个填空题)
- 中文件编码方式_一文解开java中字符串编码的小秘密
- 【现代机器人学】基于指数积的机械臂正运动学
- Odoo10 自定义模块创建
- 计算机制图师岗位技能要求,机械制图员
- 数学专业英语--2.5(几何)
- panabit环境搭建
- 姗姗来迟,智能音箱于华为是鸡肋还是熊掌?
- 记录 免费高清视频下载网站
- websocket-PacketCapture乱码包解密
- 【转载】androidstudo如何跨越这个厚厚的墙,亲测有效 Could not resolve com.android.tools.build:gradle:
- Bitmap高效加载
- mac终端远程登陆服务器
热门文章
- ERROR: Could not find a version that satisfies the requirement trusted-host (from versions: none) ER
- framebuffer结构体分析
- 什么是负边沿触发_晶闸管的导通条件是什么 晶闸管(可控硅)检测方法
- python爬取boss直聘招聘信息_Python笔记-爬取Boss直聘的招聘信息
- 与孩子一起学编程 python_【和孩子一起学编程】 python笔记--第五天
- join left 大数据_Java并发编程笔记-JDK内置并行执行框架Fork/Join
- egg mysql 连表查询_Egg中使用Sequelize框架关联查询Mysql数据库
- jdbc插入数据_JMeter数据库测试计划
- 基于Pytorch再次解读ResNet现代卷积神经网络
- 【408预推免复习】操作系统之处理机调度与死锁