DNS云学堂 | 如何防范一本万利的DNS反射放大攻击

于 2021-01-25 16:57:24 发布
阅读量1.1w 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38354951/article/details/113123111
版权

一、前言

DNS诞生于上世纪80年代,就像很多新的技术出现只是为了解决一些简单的问题一样,其诞生之初也仅仅是为了解决网络上主机数量爆炸性的增长、IP地址不便于记忆的问题。其发明者可能连自己也没有想到,在几十年后的今天,互联网会发展到如此规模,DNS的应用更是如同水和空气一般无处不在。

DNS诞生的年代,互联网的规模和应用场景远不如今天复杂,更没有现如今如此严峻的网络安全环境,因此其设计之初并没有过多的考虑安全因素,基于无连接UDP协议的报文交互、尽力而为的服务方式成为了现如今互联网世界里的一个安全薄弱的环节,攻击成本低、攻击收益高的特性更是成为了黑客们的重点目标。

针对或利用DNS发动的网络威胁事件、攻击手段日益增多,根据攻击方式的特征大致可分为资源耗尽型、欺骗性、渗透性等攻击类型,本文将选取DNS资源耗尽型攻击类中的“反射放大攻击”作为主题,浅析其攻击实现原理和防范的思路。

二、攻击原理解析

DNS反射放大攻击是一种典型的分布式拒绝服务攻击,是众多反射放大攻击中的一种,攻击者利用了DNS的多种脆弱特性,发动互联网上的僵尸网络“肉鸡”(受黑客远程控制的电脑等),通过将DNS报文的源地址修改为受攻击者地址,同时面向大量互联网公共递归请求海量的全记录类型域名查询,造成被攻击者的网络带宽、服务器性能资源的耗尽。详细步骤如下图:

最低0.47元/天 解锁文章
域名国家工程研究中心
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
8条标准背后的“隐情”
06-28 1574
文章来源:中国科学报近日,工业和信息化部发布了292项行业标准,其中仅“互联网新通用顶级域名服务技术要求”的标准就有8条,分别是批量数据存取技术要求,区文件存取技术要求,域名商标保护服务流程和接口技术要求,域名注册协议启动期技术要求,域名注册协议赎回期技术要求,注册局业务数据托管技术要求,注册局运行月报规范技术要求。为什么会一次性发布这么多关于新通用顶级域名的标准?“这背后隐藏的是一场互联网空间资源的争夺战。”该系列标准的起草方——互联网域名系统国家工程研究中心(ZDNS)总经理邢志杰告诉《
博客
工信部发布八项互联网新通用顶级域名服务技术要求
06-28 1741
日前,工业和信息化部发布了由互联网域名系统国家工程研究中心(ZDNS)牵头起草的“互联网新通用顶级域名服务技术要求”八项行业标准,并将于今年7月1日起正式实施。该系列标准涵盖了信息安全、商标保护、运营规范等诸多方面内容,为互联网顶级域名运营、管理、平台技术等提出了明确要求,为我国掌握更多全球互联网核心基础资源奠定了基础。2012年互联网名称与数字地址分配机构(ICANN)开放了首轮新通用顶级域名申请。与此同时,我国也启动了相关政策的研究,并由互联网域名系统国家工程研究中心牵头制定行业标准。201
博客
IDC报告出炉,ZDNS连续五年DDI领域市场占有率第一
03-04 4万+
近日,国际权威市场调研机构IDC发布《中国DDI市场份额研究,2019》报告,互联网域名系统国家工程研究中心(ZDNS)蝉联第一,这也是ZDNS在DDI(DNS、DHCP、IPAM)领域连续第五年取得市场份额第一的优异成绩。企业在域名系统领域投入持续加码报告显示,得益于数字经济的快速发展,DDI行业市场在2019年取得了30%以上的高速增长并且持续增长潜力巨大。以5G、大数据、物联网、云计算、人工智能等新兴技术为依托的数字化转型,使互联网业务应用极大丰富。任何互联网业务应用必须通过域名系统获得.
博客
互联网导航系统——DNS:《流浪地球2》中重启互联网的现实解读
01-29 379
互联网可以重启吗?现实中根服务器位于何处?“密钥”是否真的存在……影片中呈现的硬科技背后离不开科学技术的支撑,从科幻回归科学、从电影深入现实,与中国互联网专家一起解读影片中重启互联网等场景,科普以根服器为代表的互联网导航系统——DNS的现实角色。
博客
从电子政务外网升级,看ZDNS四大域名产品为数字政府构建基石
05-17 853
ZDNS提供域名服务,满足政府客户解析服务优化、IPv6升级改造、域名安全防护、灾备智能调度四大需求,赋能电子政务外网升级改造。
博客
DNS漏洞影响数百万物联网设备安全,ZDNS打造Safeguard安全威胁管控系统,精准防御实现网络安全防线前移
05-09 1215
DNS漏洞影响数百万物联网设备安全,ZDNS打造Safeguard安全威胁管控系统,精准防御实现网络安全防线前移。
博客
赋能合作伙伴,共建价值生态 | ZDNS产品及行业解决方案培训会圆满举行
05-07 1527
ZDNS连续召开三场合作伙伴赋能培训,围绕ZDNS自研产品体系、典型案例等内容,全方位赋能合作伙伴协同发展,实现携手共赢!
博客
【DNS应用案例】智能DNS赋能海运集团全球域名体系建设
05-06 285
ZDNS助力某大型海运集团打造全球DNS体系架构,实现全网DNS数据统一管理,实现业务灾备切换、健康检测,满足海运行业未来业务发展需求。
博客
DNS 技术标准综述
04-20 2998
DNS的可扩展性经受住了时间的考验,并固化在各类技术标准之中,成为全球范围内构建网络产业生态、支撑网络空间治理的重要依据。
博客
ZDNS参与的《根服务器运行机构不端行为研究报告》正式发布,全球根服务器安全治理又进一步
07-22 220
近日(7月7日),互联网名称与数字地址分配机构(ICANN)的互联网根服务器咨询委员会(RSSAC)发布了编号为056的咨询报告。这份报告是互联网根服务器咨询委员会首次系统梳理互联网根服务器安全问题。报告不仅界定了互联网域名根服务器运行机构的不端行为,还总结归纳了不同类型的不端行为及其内涵。域名根服务器系统是互联网的关键基础设施,也是各国网络与境外网络互联互通的重要保障。作为唯一一位参与起草并署名的、来自中国大陆的科学家,互联网域名系统国家工程研究中心(ZDNS)首席研究员马迪博士(Di Ma)表示,该
博客
新通用顶级域名:继根服务器后,又一场互联网空间资源的争夺战
06-25 5855
近日,工业和信息化部发布了“互联网新通用顶级域名服务技术要求”系列标准。一次性发布八项相关标准,足见新通用顶级域名的重要性。而这背后代表的,是一场关于互联网空间资源的争夺战。互联网空间的新机遇近年来,根服务器的重要作用被大众所熟知,全球13个根服务器全部由美国及其盟友控制,1985年创立的包括.com、.net等在内的6个通用顶级域名,也全部由美国机构控制。根服务器上记录着顶级域名的信息,顶级域服务器记录、管理着企业域名的信息,从而实现全球网络的互联互通。因此,顶级域名蕴含了巨大的价值,
博客
DNS云学堂 | 超实用!金融机构互联网域名系统常见风险及防范建议(下篇)
06-24 6040
书接上回,本篇继续讨论两种针对DNS的常见攻击类型: 欺骗攻击(NS篡改、域名劫持、缓存投毒) 资源耗尽攻击(DNS DDoS攻击和DNS放大、反射攻击) 风险三:二级域名NS记录篡改和域名劫持NS篡改通常是攻击者通过各种攻击手段或社会工程学控制了域名管理密码和域名管理邮箱,然后将该域名的NS记录指向到攻击者可以控制的权威服务器,通过在该权威服务器上添加相应域名记录,从而使用户访问该域名时,进入攻击者所指向的内容。终端客户打开的网站可能被植入了广告,也可能是钓鱼网站,导致隐私
博客
DNS云学堂 | 超实用!金融机构互联网域名系统常见风险及防范建议(上篇)
06-24 6760
随着移动互联、云计算及大数据等新技术与应用的飞速发展,银行业务开展面临着从线下到线上的转变。互联网支付、网银、信贷等业务在访问的第一步均由域名系统提供解析服务,用户终端获取域名对应的IP地址后发起并完成访问。此时,域名系统DNS已实际成为互联网应用的入口。而DNS 作为一种网络开放式服务,在设计之初就缺乏信息验证机制,与生俱来的脆弱性,使攻击者对DNS的攻击成本极低。随着金融机构对于域名系统DNS依赖程度日益加强,DNS“小事故”在 “互联网+”新环境下造成的影响和损失会“指数级”放大,大范围影响网
博客
高考“明日方舟”火了一把,arknights.fans顺势被抢注!
06-10 1万+
刚刚结束的高考作为每年一次,次次霸榜的热点,受到全社会的关注。除了讨论高考试题外,各种考场内外的有趣新闻也是很吸引大众眼球。今年也不例外~最近一则高考后的采访视频大火:在河南郑州一所中学考场,高考理综结束后,记者采访了第一位走出考场的考生。只见他气定神闲,除了表示“物理有点难”,随后便面对镜头,话锋一转,竟当着记者的面打起了《明日方舟》游戏凯尔希皮肤实装的主意!果不其然,该视频放出后,迅速在B站和《明日方舟》游戏圈内走红,在不到8个小时的时间内播放量就已经达到了81万!弹幕更是...
博客
.fans带你继续YYDS!
06-08 1万+
​点击上方字关注我们~提问时间到!发表于1天前.fans域名查看:13500回复:135你知道最近饭圈大火的YYDS是什么意思吗?(不知道?那就耐心看,最后来揭晓)昨天傍晚,#宋丹丹 丫丫ds#惊登微博话题热搜榜首。起因源于在某综艺中,宋丹丹老师第一次接触饭圈文化,读主持人的粉丝来信时,将yyds读成了丫丫ds,并质疑“丫丫ds是什么鬼”,引发网友爆笑~除了综艺有YYDS,就连一向深谙互联网营销模式的国产咖啡品牌——瑞幸咖啡也将目光瞄...
博客
DNS云学堂 |“悬崖之上”的DNS数据及安全加固思路
05-11 2万+
5G、物联网等新技术的发展,推动亿万终端接入互联网,网间传输着大量的用户数据。然而作为互联网应用访问的枢纽,DNS在其设计之初对数据的完整性、可靠性缺乏考虑,导致用户的资产信息、应用访问信息、访问行为等隐私数据对外暴露,存在安全隐患。本期云学堂将为大家阐述加固DNS数据安全的重要性。enjoy:近来,IETF(互联网工程任务组)提出一项新的DNS安全技术草案——Oblivious DNS Over HTTPS。该技术提供公共秘钥加密、代理服务器两种手段,实现DNS数据安全的提升。传统DNS请求过程
博客
ZDNS受邀出席腾讯云基础资源年会,分享《2020域名行业发展报告》
04-29 1万+
4月29日,2021 腾讯云基础资源年度峰会在重庆举行,互联网域名系统国家工程研究中心(ZDNS)总经理邢志杰受邀参会,发表了题为《域名行业发展报告》的演讲,就全球域名发展现状及中国域名市场前景进行了分享。自2017年开始,ZDNS连续5年发布《全球域名发展统计报告》,截至目前已发布15期,此次演讲分享了2020全年的最新数据。全球域名市场方面,报告显示:截止2020年底,全球域名保有量达到3.78亿,去年一年新增673万。邢志杰认为,去年疫情肆虐的情况下,全球域名注册保有量依然保持了增长,说明疫情对域
博客
立潮头 筑根基 赢未来——ZDNS合作伙伴大会成功举办
04-27 1万+
“重塑网络根基,既是大国博弈背景下的必然,也是互联网基础资源领域技术变革的趋势。ZDNS将专注于这一领域,不遗余力、全方位推动。以自主域名系统软件‘红枫’为基础,在国家政策指引下,在中科院支持下,用使命团结各界力量,共筑网络根基,共同做大行业,与合作伙伴分享这一历史机遇带来的发展红利,共赢未来!”互联网域名系统国家工程研究中心(ZDNS)总经理邢志杰在2021 ZDNS合作伙伴大会上表示。4月23日,以“立潮头•筑根基•赢未来”为主题的2021 ZDNS合作伙伴大会在刚刚落成的中科院信息化大厦成功举
博客
DNS云学堂 | 替代传统Windows DNS功能,不得不说的动态域名更新
04-01 1万+
为满足应用的双活改造和灵活切换的场景,很多企业依靠DNS系统实现应用与IP的解耦。搭建专业的DNS系统,替代传统Windows的DNS功能,成为了企业信息化发展健全的一个必要过程。与域控结合,组建更加完善的DNS系统Windows操作系统作为目前市面上常见的终端操作系统类型,不管是在企业的办公环境,或者是生产环境中,都扮演着重要的角色。Windows域是计算机网络的一种形式,其中所有用户帐户、计算机、打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册,从Wi.
博客
DNS云学堂 | 涨姿势!权威DNS的三种进阶用法
03-31 1万+
我们常说,DNS是互联网服务的“入口”,是网络互连的第一步:当用户在浏览器中输入网址(URL)后,浏览器会委托操作系统向指定Web服务器发送请求,但是浏览器必须告知操作系统Web服务器的IP地址。如下图所示,用户在浏览器中一般输入的是域名信息,因此浏览器要实现用户需求的第一步便是向DNS服务器查询域名对应的IP地址。有人说DNS功能只是网络标准和协议列表中的一个项目,那是因为他们不够了解DNS。现如今人们无论是开展业务或是个人使用都无法离开互联网,随着全球互联网使用量的增加,人们采用或迁移到新的更好

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值