DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器...

最新推荐文章于 2024-07-11 17:22:29 发布
最新推荐文章于 2024-07-11 17:22:29 发布
阅读量313 收藏
点赞数
文章标签: 运维 网络
原文链接:http://www.cnblogs.com/bonelee/p/7271984.html
版权

DNS反射放大攻击分析

摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E5%8D%95%E5%88%86%E6%9E%90/

简介

DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器。

简单对比下正常的DNS查询和攻击者的攻击方式:

正常DNS查询:
源IP地址 —–DNS查询—-> DNS服务器 —–DNS回复包—-> 源IP地址

DNS攻击:
伪造IP地址 —–DNS查询—-> DNS服务器 —–DNS回复包—-> 伪造的IP地址(攻击目标)

分析

从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点。

  • 全部是大量的DNS响应请求(Response请求)

147159808627181.jpg

  • 通常里面包含一些不存在或者生僻的域名,经过循环查询从而放大DNS流量

147159840859200.jpg

  • 会将将 OPT RR 字段中的 UDP 报文大小设置为很大的值(如 4096)

147159870918672.jpg

通过这样放大了攻击流量。发送的 DNS 查询请求数据包大小一般为 60 字节左右,而查询返回结果的数据包大小通常为 3000 字节以上,因此,使用该方式进行放大攻击能够达到 50 倍以上的放大效果。

  • 大量的流量都来自正常的DNS服务器

攻击者通过伪造IP向正常的DNS服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实IP

解决方案

      1. 如果没有必要可以关闭DNS服务(废话么不是
      2. 如果有DNS服务,做好响应限制,DNS服务不应对互联网上的域名解析服务,而只响公司内部网络DNS解析请求
      3. 限制DNS响应数据包大小的阈值,直接丢弃超大的响应数据包

DNS反射放大攻击

    1. DNS反射放大攻击的原理也是类似的。网络上有大量的开放DNS解析服务器,它们会响应来自任何地址的解析请求。我们发出的解析请求长度是很小的,但是收到的结果却是非常大的,尤其是查询某一域名所有类型的DNS记录时,返回的数据量就更大,于是可以利用这些解析服务器来攻击某个目标地址的服务器,而且是利用被控制的机器发起伪造的解析请求,然后解析结果返回给被攻击目标。由于DNS解析一般是UDP请求,不需要握手,源地址属性易于伪造,而且部分“肉鸡”在平时本来就是合法的IP地址,我们很难验证请求的真实性和合法性。DNSSEC是一种可以防止缓存投毒的机制,另外,如果DNS本身抗压能力不行,而且对方请求量过大的话,也会影响到DNS本身的服务。目前此类攻击的规模在数百Gbps级别。

转载于:https://www.cnblogs.com/bonelee/p/7271984.html

djph26741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dns放大攻击vc源码
01-07
由于DNS应答通常比请求大得多,这种攻击可以将小规模的原始流量放大成巨大的DDoS(分布式拒绝服务)流量,对目标服务器造成严重冲击。 DNS放大攻击的实施通常括以下步骤: 1. 攻击者收集大量开放DNS解析器(也...
DNS Amplification Attack PoC(DNS放大攻击
Yatere的天平秤
05-14 5059
#!/usr/bin/perl # Get Net::RawIP at http://search.cpan.org/CPAN/authors/id/S/SZ/SZABGAB/Net-RawIP-0.21_01.tar.gz # cpan Net::DNS:Resolver seems to work fine on each machine I throw it on, as well. # P
浅析 DNS 反射放大攻击
easylife206的专栏
07-11 5524
DNS 反射放大攻击分析前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。简介DNS 反射放大攻击主要...
DNS放大攻击
jh035512的博客
11-15 347
DNS放大攻击为DOS攻击的一种分支类型,攻击利用僵尸网络中的大量的被控主机,伪装成被攻击主机(IP地址),在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。肉机,跳板机:首先分析我们的DNS服务器是否递归查询,限制DNS解析器仅响应来自可信源的查询或者关闭DNS服务器的递归查询;或者开启递归查询验证(设置DNS递归查询的权限IP受害者需要借助运营商。
Linux ntp放大攻击脚本,kali linux之DNS,NTP放大攻击
weixin_42510604的博客
04-30 749
DNS放大:产生大流量攻击方法-----单机的带宽优势,巨大的单机数量形成的流量汇聚,利用协议特性实现放大效果的流量DNS协议放大效果----查询请求流量小,但响应流量可能非常巨大(dig ANY baidu.com @8.8.8.8流量放大约8倍)攻击原理:伪造源地址为被攻击目标地址,向递归域名查询服务器发起查询DNS服务器成为流量放大和实施攻击者,大量DNS服务器实现DDoSNTP放大网络...
DNS攻击详解
weixin_47726676的博客
06-13 8981
目录DNS概念什么是DNS因特网的域名结构DNS域名服务器DNS攻击DDOS攻击基于主机耗尽型的dns查询拒绝服务攻击DNS query Flooding)攻击方法防御策略基于宽带耗尽型的DNS反弹式拒绝服务攻击DNS reflector attacks,又称DNS amplification attacks)攻击方法防御策略会话劫持劫持dns服务器地址hosts文件被修改DNS服务器缓存中的映射关系被修改,又称缓存投毒攻击 DNS概念 什么是DNS 域名系统DNS(Domain Name System
DDOS攻击防护DNS
qq_37980458的博客
10-11 4184
DNS request flood 黑客控制僵尸网络DNS服务器发送大量不存在的域名的解析请求,最终导致服务器因大量DNS请求而超载。   1.TC源认证 ①客户端发送的DNS请求报文长度超过告警阈值,启动源认证机制。 ②拦截DNS请求,将TC标志位置为1并进行回应,要求客户端以TCP方式重新发起DNS查询。 ③如果这个源是虚假源,则不会正常响应这个DNS回应报文,更不会重新通过TC...
DNS Flood类型攻防梳理和思考
Karka_的博客
08-10 321
针对DNS攻防测试,常见使用的防护算法如下:默认算法(限速)TC重传cname跳转首次query丢弃重点针对攻击原理、防护原理进行说明,针对如何测试,提供参考。
Python中使用scapy模拟数据实现arp攻击dns放大攻击例子
12-23
scapy是python写的一个功能强大的交互式数据处理程序,可用来发送、嗅探、解析和伪造网络数据,常常被用到网络攻击和测试中。 这里就直接用python的scapy搞。 这里是arp的攻击方式,你可以做成arp攻击。 复制...
分布式DNS反射DDoS攻击检测及控制技术
01-19
分布式DNS反射DDoS攻击已经成为拒绝服务攻击主要形式之一,传统的基于网络流量统计分析网络流量控制技术已经不能满足防护需求。提出了基于生存时间值(TTL)智能研判的DNS反射攻击检测技术,能够准确发现伪造源...
SSRF_Vulnerable_Lab:本实验含易受服务器请求伪造攻击的示例代码
05-12
服务器请求伪造(SSRF)易受攻击的实验室该存储库含容易受到服务器请求伪造(SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
自己编写DNS_Flood攻击系统(仅仅个人测试使用).zip
05-18
DNS洪水攻击是一种分布式拒绝服务(DDoS)攻击攻击者通过大量伪造DNS查询请求,使目标DNS服务器不堪重负,从而导致网络服务中断。 【描述】分析: 描述提到“本项目是自己练习的demo,内含教程和数据集”,这...
解析中间人攻击--DNS欺骗
04-24 4221
DNS欺骗   DNS欺骗是这样一种中间人攻击形式,它是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误DNS信息,当用户尝试浏览网页,例如IP地址为XXX.XX.XX.XX ,网址为www.bankofamerica.com,而实际上登录的确实IP地址YYY.YY.YY.YY上的www.bankofamerica.com ,用户上网就只能看到攻击者的主页,而不是用户想要取得的网
分散式阻断服务攻击(DDoS):反射攻击放大攻击
每一个不曾起舞的日子,都是对人生的辜负。
10-25 2788
分散式阻断服务攻击(DDoS) 攻击者从远端控制多个傀儡机器同时对受害主机做大量的攻击。 控制指令:加密或隐藏在正常流量中。 DDoS攻击程序范例 Trinoo TFN 反射攻击放大攻击 与DDoS不同,中间系统是未被感染的。反射/放大攻击利用网络系统正常的功能。 攻击程序: 攻击者送出一个伪造来源IP地址的封给在某一个服务器上执行的服务。 服务器回复一个封伪造IP地址...
通过DHCP服务伪造DNS攻击
轻舟已过万重山
09-23 314
大家好,本章节我将给大家讲解通过DHCP服务伪造DNS,对其进行攻击利用钓鱼网站拿到登录用户名和密码。
DNS云学堂 | 如何防范一本万利的DNS反射放大攻击
域名国家工程研究中心(ZDNS)的博客
12-25 533
一、前言 DNS诞生于上世纪80年代,就像很多新的技术出现只是为了解决一些简单的问题一样,其诞生之初也仅仅是为了解决网络上主机数量爆炸性的增长、IP地址不便于记忆的问题。其发明者可能连自己也没有想到,在几十年后的今天,互联网会发展到如此规模,DNS的应用更是如同水和空气一般无处不在。 DNS诞生的年代,互联网的规模和应用场景远不如今天复杂,更没有现如今如此严峻的网络安全环境,因此其设计之初并没有过多的考虑安全因素,基于无连接UDP协议的报文交互、尽力而为的服务方式成为了现如今互联网世界里的一个安全薄弱的
盘点几种常见的DNS攻击类型
weixin_53018687的博客
01-18 4971
由于DNS系统庞大的数据资源以及其天生薄弱的安全防护能力,使得其逐渐成为网络攻击的重点对象。近年来,针对DNS攻击事件与日俱增,攻击类型也呈多样化、复杂化发展趋势。下面,中科三方就简单介绍下几种常见的DNS攻击类型。 1.DNS劫持 DNS劫持又称域名劫持,这类攻击一般是通过恶意软件、修改缓存、控制域名管理系统等方式取得DNS解析控制权,然后通过修改DNS解析记录或更改解析服务器方式,将用户引导至不可达的站点或受攻击者控制的非法网站,以达到非法获取用户数据,谋取非法利益的目的。 2.缓存投毒 攻击者将非法
设备运维、教学直播...浅析远程控制在医疗专网环境下的应用
最新发布
oray2013的专栏
07-11 193
随着跨院会诊的需求出现,安全高清的远程是为患者提供更加专业和全面的诊断意见的必要条件,医院内网下设备部署向日葵Q2Pro,同时为各类医院科室专家分配向日葵账号,当有远程诊疗需求发生时,医生仅需添加指定设备,即可在手机或电脑上发起远程操作,实时获取患者的检查数据,及时响应任何紧急情况。向日葵的远程系统采用了先进的RSA&AES非对称加密技术和安全协议,确保所有的数据传输都是安全的,其次使用控控接入医院内部的设备终端,使得控控上网,医院内部设备不联网,高度保障了医院内部的数据安全不被未授权访问。
udp为什么比tcp容易进行放大攻击
06-10
UDP协议与TCP协议相比,UDP是一种无连接的传输协议,没有连接建立和断开的过程,也没有数据的确认和重传机制,因此UDP协议的数据包比较简单,通信效率高,但也正是这种特点导致UDP协议容易受到放大攻击的影响。放大攻击是一种利用网络上某些服务的特性进行攻击的方式,攻击者通过向某个服务发送请求,然后将响应放大到比请求更大的规模,再将响应发送给受害者,从而使得受害者网络带宽被占满,甚至导致网络瘫痪。UDP协议中的某些服务响应数据包比请求数据更大,例如DNS服务的查询响应数据通常比查询请求数据更大,攻击者可以通过发送少量的DNS查询请求,获得大量的DNS响应数据,从而放大攻击。由于UDP协议没有连接建立和断开的过程,也没有数据的确认和重传机制,攻击者很容易伪造源地址和端口号,使得被攻击的目标无法识别攻击来源,从而难以进行防御。而TCP协议则具有连接建立和断开的过程,以及数据的确认和重传机制,虽然也有可能受到放大攻击的影响,但比UDP协议更容易进行流量控制和防御。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值