DNS反射放大攻击分析

摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E5%8D%95%E5%88%86%E6%9E%90/

简介

DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器。

简单对比下正常的DNS查询和攻击者的攻击方式:

正常DNS查询:
源IP地址 —–DNS查询—-> DNS服务器 —–DNS回复包—-> 源IP地址

DNS攻击:
伪造IP地址 —–DNS查询—-> DNS服务器 —–DNS回复包—-> 伪造的IP地址(攻击目标)

分析

从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点。

  • 全部是大量的DNS响应请求(Response请求)

  • 通常里面包含一些不存在或者生僻的域名,经过循环查询从而放大DNS流量

  • 会将将 OPT RR 字段中的 UDP 报文大小设置为很大的值(如 4096)

通过这样放大了攻击流量。发送的 DNS 查询请求数据包大小一般为 60 字节左右,而查询返回结果的数据包大小通常为 3000 字节以上,因此,使用该方式进行放大攻击能够达到 50 倍以上的放大效果。

  • 大量的流量都来自正常的DNS服务器

攻击者通过伪造IP向正常的DNS服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实IP

解决方案

  1. 如果没有必要可以关闭DNS服务(废话么不是
  2. 如果有DNS服务,做好响应限制,DNS服务不应对互联网上的域名解析服务,而只响公司内部网络DNS解析请求
  3. 限制DNS响应数据包大小的阈值,直接丢弃超大的响应数据包

DNS反射放大攻击

  1. DNS反射放大攻击的原理也是类似的。网络上有大量的开放DNS解析服务器,它们会响应来自任何地址的解析请求。我们发出的解析请求长度是很小的,但是收到的结果却是非常大的,尤其是查询某一域名所有类型的DNS记录时,返回的数据量就更大,于是可以利用这些解析服务器来攻击某个目标地址的服务器,而且是利用被控制的机器发起伪造的解析请求,然后解析结果返回给被攻击目标。由于DNS解析一般是UDP请求,不需要握手,源地址属性易于伪造,而且部分“肉鸡”在平时本来就是合法的IP地址,我们很难验证请求的真实性和合法性。DNSSEC是一种可以防止缓存投毒的机制,另外,如果DNS本身抗压能力不行,而且对方请求量过大的话,也会影响到DNS本身的服务。目前此类攻击的规模在数百Gbps级别。

转载于:https://www.cnblogs.com/bonelee/p/7271984.html

DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器...相关推荐

  1. IP协议 (通俗易懂),IP协议的主要功能及实现原理,IP地址分类,IP数据包分片,IP数据报格式。

    「作者主页」:士别三日wyx 「作者简介」:CSDN top100.阿里云博客专家.华为云享专家.网络安全领域优质创作者 「专栏简介」:此文章已录入专栏<计算机网络零基础快速入门> 本章重 ...

  2. 【GPRS IP地址】GPRS IP地址的问题

    http://www.gongkong.com/webpage/forum/200406/2-AF42-F296B18EA42D-1.shtml 呵呵,也不一定是DHCP分配的啦,GGSN可以内部维护 ...

  3. linux下dhcp服务器分配出去的IP地址及剩余IP地址

    我认为有2种办法 1.你可以查看防火墙信息,如图,可以清晰的看到,192.1681.200的IP给了哪个MAC地址 2. /var/lib/dhcpd/dhcpd.leases  这个文件专门记录了D ...

  4. 查看linux下dhcp服务器分配出去的IP地址及剩余IP地址

    1.你可以查看防火墙信息,如图,可以清晰的看到,192.1681.200的IP给了哪个MAC地址 2. /var/lib/dhcpd/dhcpd.leases 这个文件专门记录了DHCP的分配情况 一 ...

  5. Linux配置多网口IP地址,linux配置ip 多个网口

    SCC(超级计算集群)简介 SCC概述 超级计算集群(Super Computing Cluster,SCC)使用高速RDMA网络互联的CPU以及GPU等异构加速设备,面向高性能计算.人工智能/机器学 ...

  6. 2023-5-7 什么是公网、内网、局域网、广域网、互联网?已经有了mac地址为什么还需要ip地址?使用ip地址是如何进行构建互联网的?

    2023-5-7 什么是公网.内网.局域网.广域网.互联网?已经有了mac地址为什么还需要ip地址?使用ip地址是如何进行构建互联网的?什么是内网穿透? 文章目录 2023-5-7 什么是公网.内网. ...

  7. 公共IP地址、私有IP地址、NAT技术

    1.公共IP地址和私有IP地址的区别? 在 Internet 上存在数量有限的 IP 地址,这些能在Intenet上使用的地址被称为公共IP地址,且IP地址必须是唯一的 但是私有IP地址就是例外,这些 ...

  8. Linux Red Hat 6.0 配置网卡ip地址和备用ip地址

    Linux Red Hat 6.0 配置ip地址和配用ip地址 1.使用vim编辑器打开网卡配置文件 root#vim /etc/sysconfig/network-scripts/ifcfg-eth ...

  9. 统计两个IP地址之间的IP个数

    问题 求两个IP地址之间的IP个数,例如192.18.16.1~192.18.16.5,2001:DB8:0000:0023:0008:0800:200C:417C~2001:DB8:0:23:8:8 ...

最新文章

  1. java与数据结构(4)---java实现双向循环链表
  2. setfacl 权限导出_Linux如何使用setfacl命令创建权限文件
  3. gitlab 开源项目 星_Docker实战之Gitlab搭建
  4. pythonimport是拷贝_02Python学习笔记之二.一【import、==和is、深浅拷贝】2019-08-17
  5. django URL路由基础
  6. eureka上的微服务不能通过服务名调用_掌门教育微服务体系 Solar | 阿里巴巴 Nacos 企业级落地上篇...
  7. JAVA 【引用类型】和【对象类型】在【继承】中的异同
  8. 1000道Python题库系列分享22(40个填空题)
  9. 中文件编码方式_一文解开java中字符串编码的小秘密
  10. 【现代机器人学】基于指数积的机械臂正运动学
  11. Odoo10 自定义模块创建
  12. 计算机制图师岗位技能要求,机械制图员
  13. 数学专业英语--2.5(几何)
  14. panabit环境搭建
  15. 姗姗来迟,智能音箱于华为是鸡肋还是熊掌?
  16. 记录 免费高清视频下载网站
  17. websocket-PacketCapture乱码包解密
  18. 【转载】androidstudo如何跨越这个厚厚的墙,亲测有效 Could not resolve com.android.tools.build:gradle:
  19. Bitmap高效加载
  20. mac终端远程登陆服务器

热门文章

  1. ERROR: Could not find a version that satisfies the requirement trusted-host (from versions: none) ER
  2. framebuffer结构体分析
  3. 什么是负边沿触发_晶闸管的导通条件是什么 晶闸管(可控硅)检测方法
  4. python爬取boss直聘招聘信息_Python笔记-爬取Boss直聘的招聘信息
  5. 与孩子一起学编程 python_【和孩子一起学编程】 python笔记--第五天
  6. join left 大数据_Java并发编程笔记-JDK内置并行执行框架Fork/Join
  7. egg mysql 连表查询_Egg中使用Sequelize框架关联查询Mysql数据库
  8. jdbc插入数据_JMeter数据库测试计划
  9. 基于Pytorch再次解读ResNet现代卷积神经网络
  10. 【408预推免复习】操作系统之处理机调度与死锁