回溯分析技术:让DNS放大攻击无处可藏!
回溯分析技术:让DNS放大攻击无处可藏!
DNS是域名系统(domain name system)的缩写,DNS服务器是域名管理系统,他的作用是把域名转换成网络中计算机可识别的IP。
DNS放大攻击是一种常见的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。
本文即是通过科来网络回溯分析系统发现某单位服务器遭受DNS放大攻击的案例。
一、问题描述
XX.XX.29.4为客户的DNS服务器上海某单位的DNS服务器,需要对外提供DNS服务。该客户部署科来网络回溯分析系统后,在可疑域名警报中触发了大量警报。
二、分析过程
发现198.24.157.245(经查为美国IP)在短时间内向XX.XX.29.4服务器发送了大量的DNS请求,请求的域名为dnsamplicationattacks.cc。(DNS Amplification Attacks字面意思就是DNS放大攻击。)
http://www.csna.cn/attachments/15113013098c0add669f38e804.png
198.24.157.245发出的请求包为101字节,DNS服务器返回的应答包为445字节,而使通信流量放大了4.4倍。
http://www.csna.cn/attachments/1511301309e7f1d246c6565908.png
攻击者利用大量被控主机向大量的DNS服务器发送DNS请求,但请求中的源IP地址被伪造成被攻击者的IP(在本例中为198.24.157.245),于是DNS服务器会向被攻击者返回查询结果,通常查询应答包会比查询请求包大数倍甚至数十倍(在本例中为4.4倍),攻击者由此将攻击效果扩大了若干倍。从而形成对198.24.157.245地址的流量放大攻击。
http://www.csna.cn/attachments/1511301309a20c681282246937.png
在本例中客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中,攻击过程见下图。
http://www.csna.cn/attachments/15113013096614c8815c04e234.png
三、分析结论
攻击者利用大量被控主机在短时间内向大量的DNS服务器(XX.XX.29.4)发送DNS请求,查询应答包会比查询请求包大4.4倍,造成大量流量发送到伪造的源IP地址(198.24.157.245),形成对该IP地址的拒绝服务攻击。
{:6_267:}{:6_267:} {:6_290:}{:6_290:}{:6_290:}{:6_290:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}
页:
[1]