这种DDoS攻击是基于反射的体积分布式拒绝服务(DDoS)攻击,其中攻击者利用开放DNS解析器的功能,以便以放大的流量来压倒目标服务器或网络,从而使服务器和其周边基础设施无法进入。
DNS放大攻击如何工作?
所有放大攻击都会利用攻击者与目标网络资源之间的带宽消耗差异。当成本的差异在许多请求中被放大时,由此造成的流量可能会破坏网络基础设施。通过发送导致大量响应的小型查询,恶意用户能够从更少的角度获得更多。通过使僵尸网络中的每个机器人都有相似的请求来乘以这个放大倍率,攻击者既可以从检测中进行混淆,也可以获得大大增加攻击流量的好处。
DNS扩大攻击中的一个机器人可以被认为是一个恶意的少年打电话给餐厅的上下文,并说“我会有一件事,请打电话给我,告诉我我的整个订单。”当餐厅要求一个回拨号码,给出的数字是目标受害者的电话号码。然后,该目标从餐厅接收到他们没有请求的大量信息的呼叫。
由于每个机器人要求使用被欺骗的IP地址打开DNS解析器,IP地址已被更改为目标受害者的真实源IP地址,则目标接收到来自DNS解析器的响应。为了创建大量的流量,攻击者以一种可以从DNS解析器生成尽可能大的响应的方式来构造请求。因此,目标接收到攻击者的初始流量的放大,并且它们的网络被伪造的流量阻塞,导致拒绝服务。
DNS扩展可以分为四个步骤:
1.攻击者使用受损端点将具有欺骗IP地址的UDP数据包发送到DNS递归。数据包上的欺骗地址指向受害者的真实IP地址。
2.每个UDP数据包向DNS解析器发出请求,通常会传递诸如“ANY”之类的参数,以便尽可能接收最大的响应。
收到请求后,通过响应尝试有用的DNS解析器向欺骗的IP地址发送大量响应。
3.目标的IP地址接收到响应,并且周围的网络基础设施变得不堪重负,流量很大,导致拒绝服务。
4.虽然一些请求不足以占用网络基础架构,但是当该序列在多个请求和DNS解析器之间相乘时,目标接收的数据的放大可能是巨大的。探索有关反射攻击的更多 技术细节。
如何减轻DNS放大攻击?
对于运行网站或服务的个人或公司,减轻选择是有限的。这是因为个人的服务器虽然可能是目标,但并不是感觉到体积攻击的主要影响。由于产生的流量大,服务器周围的基础设施感受到影响。互联网服务提供商(ISP)或其他上游基础架构提供商可能无法处理传入的流量,而不会被淹没。因此,ISP可能会将目标受害者的IP地址的所有流量黑洞,保护自己并将目标的站点脱机。除了防垃圾防御服务,如Cloudflare DDoS保护之外,缓解策略主要是预防性的互联网基础架构解决方案。
减少打开DNS解析器的总数
DNS扩展攻击的重要组成部分是访问开放的DNS解析器。通过配置不良的DNS解析器暴露于Internet,所有攻击者需要做的是使用DNS解析器来发现它。理想情况下,DNS解析程序只能将其服务提供给来自受信任域的设备。在基于反射的攻击的情况下,开放的DNS解析程序将响应来自互联网上任何地方的查询,从而有可能被利用。限制DNS解析器,以便它只响应来自可信来源的查询,使服务器成为任何类型的扩增攻击的不良载体。
源IP验证 – 停止出站网络的欺骗性数据包
由于攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,因此降低基于UDP的放大攻击的有效性的关键组件是Internet服务提供商(ISP)拒绝任何内部流量欺骗IP地址。如果从网络内部发送一个数据包,源地址使其看起来像源自网络外部,那么它很可能是一个欺骗的数据包,可以丢弃。Cloudflare强烈建议所有提供商实施入侵过滤,并且有时将与不知不觉中参与DDoS攻击并帮助他们实现其漏洞的ISP接触。