dns重定向_DNS的4种攻击形式和应对举措

最新推荐文章于 2023-08-15 07:57:35 发布
最新推荐文章于 2023-08-15 07:57:35 发布
阅读量1.3k 收藏
点赞数
文章标签: dns重定向

7ed156914d5762c24064d9aca23b21d7.png

你好,欢迎收听极客视点。

众所周知,DNS 是一种非常基本的协议 / 服务,它让互联网用户和网络设备能发现使用人类可读的域名,而非纯数字 IP 地址的网站。AWS 的一篇文章详细解释了 DNS 的工作原理。如果 DNS 服务受到攻击或无法正常工作,那么你的服务或网站很有可能无法访问。

最近,迈克尔·索基斯(Michael Soikis)详细解释了 DNS 服务面临的主要威胁,以及相应的缓解策略,供你参考。

1. Straightforward/Naive DDoS

黑客使用僵尸网络创建不同端点,在同一时间段向受害者域名服务器直接发送海量 DNS 请求。

这种攻击会在短时间内产生大量流量,利用无数请求堵塞 DNS 服务器,让其无法响应,从而达到拒绝正常用户访问的目的。

缓解措施 通过使用基于硬件的网络设备或云服务解决方案可以过滤或限制网络流量。在一场 Naive DDoS 攻击中,攻击者不会欺骗源 IP,用于攻击的源数量也有限制。因此,限制策略可以是拦截攻击者使用的 IP。

2. IP 欺骗

DNS 默认依赖 UDP 协议,而由于 UDP 本身的特性导致,只需伪造数据包的 IP 地址,便可以轻易将源 IP 换成随机 IP。在这种情况下,拦截 IP 地址变成了无用功,我们需要求助于别的方案。

缓解措施 使用 DNS 缓存服务器吸收大部分的 DNS 流量。

DDoS 攻击者通常会使用不存在的域名以确保解析器会转发请求,已存在域名有可能会被保存在缓存中,这样的请求是不会被转发的。针对这种情况,建议在 DNS 缓存服务器中使用以下措施限制来自不存在域名的 DNS 请求转发率。

如果传入请求的总数量超过阈值,则要求客户端从 UDP 切换到 TCP。切换后,由于 TCP 需要三次握手,则可以避免源 IP 欺骗。

下图显示了受到 Imperva 保护的权威 DNS 服务器在遭到一次 DDoS 攻击时的表现:

6b1366af4eebffc0a049c845ca736fb8.png 这次攻击持续了 24 小时,Imperva 的 DNS 代理通过过滤和限制传递到服务器的请求速率来缓解 DDoS 攻击。因此,服务器收到的请求速率没有超过配置阈值,超过这个限制的恶意流量会被拦截。
3. 反射型 DDoS

攻击者不仅会欺骗源 IP,连目的地 IP 也不会放过。来自正常 DNS 解析器的 DNS 回答会被发回给受害者(被欺骗的 IP),而不是原攻击者的 IP,从而导致受害者受到 DDoS 攻击。

这类攻击模式会放大 DDoS 的影响:黑客精心设计了能触发大量 DNS 回答的 DNS 请求,从而达到扩大伤害的效果。举例来说,“ANY”类请求或具有多个 DNS 记录的请求将触发大量 DNS 回答。在这种情况下,合法的 DNS 服务器反而会协助攻击。

缓解措施 限制同一 IP 地址的 DNS 请求 / 回答速率。

因为 DNS 解析器会使用缓存,所以理论上来讲,请求转发率会十分低,一定的频率限制应当会有效。

下图显示了一位受到 Imperva 保护的客户基础架构,在遭到严重 DDoS 综合攻击后的表现:

9d74f75d90cf5baa21c61111f611a1e9.png 在这次 DDoS 攻击中,黑客使用了两种不同方式: * 反射并放大 DNS 的 DDoS 攻击:70 Gbps 的 DNS 应答数据包,图中以黄色表示 * UDP 欺骗 DDoS 攻击:30 Gbps 的 UDP 数据包,图中以蓝色表示

二者相结合,黑客成功实施了 100 Gbps 的 DDoS 攻击。

在这次攻击中,DNS 应答数据包平均是 1400 bytes,使得攻击的放大倍数为 20。通过利用 3.5 Gbps 带宽的 DNS 请求,黑客设法将 DNS 反射型 DDoS 攻击放大到 70 Gbps。反射型攻击方法非常普遍且强大。

4. 缓存投毒

与目标在于阻塞 DNS 服务器的 DDoS 攻击不同,缓存投毒的目标是将访客从真正的网站重定向到恶意网站。

它有三个攻击阶段:

  • 黑客先是发送 DNS 请求到 DNS 解析器,解析器会转发请求到 Root/TLD/ 权威 DNS 服务器并等待回答。
  • 黑客随后发送大量包含恶意 IP 地址的投毒响应到 DNS 服务器。黑客需要抢在权威 DNS 回答之前用伪造响应命中正确的端口与查询 ID,这一步可以通过蛮力来提高成功机会。
  • 任何正常用户请求该 DNS 解析器都会得到缓存中被投毒的响应,然后被重定向到恶意网站。

缓解措施 使用 DNSSEC。DNSSEC 通过提供签名过的 DNS 回答来阻止这类攻击。使用 DNSSEC 的 DNS 解析器会验证其从 Root/Top Level Domain (TLD)/ 权威 DNS 服务器得到的签名响应。

下面四个措施可以让黑客更难成功:

  • 对每条请求使用随机查询 ID
  • 对每条请求使用随机源端口
  • 丢弃重复的转发请求
  • 确保响应中所有区域均与请求相符合:query ID、name、class 和 type

总之,为了确保网站的基础功能可以正常运转,网站管理者应该确保DNS 服务能正常工作,并避免受到上述攻击。希望今天的内容能给你带来参考价值。

7a431db576ae74db85bd587620ff8a13.png
weixin_39972768
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过 DNS 重定向优化 ISP 网络和服务
05-19
Internet 服务提供商 (ISP) 的技术支持成本不断飞涨。实际上,对于许多 ISP 来说,技术支持的成本已经相当于或甚至超过 WAN 带宽成本,成为服务商们花费最高的单项成本。 随着 ISP 的合并、更多的用户上网、典型用户群从精通技术的用户转变为不太懂技术的用户,ISP 正面对着一场日益艰难的战斗。这场战斗由下列部分组成:使最终用户的连接自动化而无论其地理位置在何处、优化基础结构性能以及管理和配置最终用户系统。 许多寻求 ISP 技术支持的电话,都源自域名服务 (DNS) 问题。DNS 是一个分布式数据库,提供了 IP 地址和主机名之间的映射。 要使网络进行正常运作,就必须为用户的计算机配置正确的 DNS 服务器地址。如果 DNS 服务器地址配置错了(由于用户输入地址时出错、输入被意外更改或其它任何原因),将导致用户失去与 Internet 的连接。几分钟以后,他们寻求 ISP 技术支持的电话就来了。 而且,为用户的计算机正确配置 DNS 服务器地址的需要可能会妨碍 ISP 为满足用户的需求而更改 DNS 的能力。例如,ISP 可能要从一个集中式 DNS 服务器转变为使用许多分散的 DNS 服务器,以适应用户数量的不断增长。 理想情况下,如果使用分散式 DNS 服务器,用户应该访问与之最接近的 DNS 服务器。但是,由于分散式架构中的各 DNS 服务器都具有唯一的 IP 地址,因此,除非每个用户在自己的计算机上重新配置 DNS 服务器地址,否则,是不可能实现这理想情况的。 对于任何一个 ISP 来说,让用户更改计算机中的 DNS 服务器地址是一项艰巨而耗时、并且蕴涵着各潜在问题的任务。如果用户在更改过程中由于 DNS 服务器地址配置错误而请求技术支持,则处理起来更加困难。 虽然动态主机控制协议 (DHCP) 可以缓解其中某些问题,但 ISP 必须使他们的所有用户转换成使用这自动寻址方案。 而在服务器交换机上采用的 DNS 重定向技术可以消除这些问题。服务器交换机是一新型、特殊的 LAN 交换机,它为单个服务器或服务器集群作前端处理。它所提供的定制服务可以提高可伸缩性、可用性和服务器效率。对发往服务器的流量进行重定向或作负载平衡处理的能力就是这类增值服务之一。 通过重定向 DNS 流量,所有 DNS 请求都被引导至 ISP 所选定的 DNS 服务器,而不管这些请求原来指向何处。如果用户的计算机由于任何原因而使用了错误的 DNS 服务器地址,这也没有任何关系。DNS 请求仍被引导至 ISP 所选定的 DNS 服务器,用户的网络连通性也同时得到维持 ? 无需打电话请求 ISP 的技术支持。 此外,ISP 可能希望用户使用另一个 DNS 服务器,而不是原来为用户的计算机配置的那个,即使原来配置的地址对于用户的本地接入点 (PoP) 来说是正确的。这情况的一个典型例子,是移动用户离开了原住地,而他们的 ISP 又采用了分布式 DNS 架构。 如果不使用 DNS 重定向DNS 请求将被发送到用户住宅所在地 PoP 的 DNS 服务器,而不是发送到用户拨入的 PoP 的 DNS 服务器。此时 DNS 重定向可以再次发挥作用,因为用户使用的 DNS 服务器地址将被忽略,DNS 请求将被引导至 ISP 指定的 DNS 服务器。 最后,DNS 重定向还允许将 DNS 请求动态地分配给服务器集群中的多个 DNS 服务器。这样可以提高处理能力,减少响应时间,并提高 DNS 的可用性。
浅析DNS Rebinding
最新发布
aobulaien001的博客
01-26 939
也叫做DNS重绑定攻击或者DNS重定向攻击。在这攻击中,恶意网页会导致访问者运行客户端脚本,攻击网络上其他地方的计算机。在介绍DNS Rebinding攻击机制之前我们先了解一下Web同源策略,
DNS解析原理知识总结
zhx111111111的博客
02-27 1391
DNS相关知识总结分析
dns+重定向
htjx99的专栏
03-24 4340
原文网址:http://www.chinaz.com/web/2011/0413/171908.shtml 其实这个文章叫大型网站用户定位技术,其实今天要讲的不是智能 DNS ,今天是要讲的智能 DNS 的问题,和一些网站对这个的处理,下面要讲的这个技术主要是针对比较大的文件,比如下载和视频之类。为什么要讲这个,主要是我的群中一些朋友吵着想了解一下。我答应了非常非常久了。直到现在才有时间给大
探秘网络重定向:解析以太网、IP和DNS流量的全方位详解!
m0_72410588的博客
08-15 468
以太网是目前应用最广泛的局域网技术。它通过使用以太网帧来传输数据,具有较高的传输速率和灵活性。首先,我们将介绍以太网的基本原理和帧格式,为后续的流量重定向奠定基础。IP(Internet Protocol)协议是互联网的核心协议之一,负责将数据包从源主机传输到目标主机。在本节中,我们将深入了解IP协议的基本原理和数据包格式,为后续的IP流量重定向提供必要的背景知识。DNS(Domain Name System)是一个将域名解析为IP地址的分布式命名系统。
DNS 服务器,DNS重定向,CDN技术
weixin_34235457的博客
07-15 1366
Internet 服务提供商 (ISP) 的技术支持成本不断飞涨。实际上,对于许多 ISP 来说,技术支持的成本已经相当于或甚至超过 WAN 带宽成本,成为服务商们花费最高的单项成本。 随着 ISP 的合并、更多的用户上网、典型用户群从精通技术的用户转变为不太懂技术的用户,ISP 正面对着一场日益艰难的战斗。这场战斗由下列部分组成:使最终用户的连接自动化而无论其地理位置在何处...
NSPHook.zip_account4gx_alsopix_dns _dns hook_dns hook
07-14
NSP HOOK 框架,可以拦截和修改DNS的解析
dns.zip_DNS Java_dns _java dns_zip
09-22
java dns lookup library
DNS_DNS.rar_dns _dns 解析_dns服务器_dns解析_域名解析
09-24
一个很实用的DNS域名解析DNS,用于网络视频服务器中。
DNS service.rar_Csharp DNS_DNS Csharp_dns
09-23
dns集成服务的小程序,可以实现dns的基本功能,适合学习使用
DNS.rar_dns _dns解析_域名ip
09-22
DNS域名解析,能够根据域名解析出IP地址等相关信息·
dns重定向_[Network] 1- DNS解析
weixin_39939993的博客
11-29 804
LIN.JY666:[Network] 8 - 如果你的域名被劫持 / DNS解析失败 你能怎么办?​zhuanlan.zhihu.com1. DNS解析寻找哪台机器上有你需要资源的过程。为什么要DNS解析? 域名方便记忆, 一个域名对应多个IP地址。DNS解析: 一个网址域名地址 到 IP地址 的转换。2.1 DNS递归/迭代查询过程访问www.google.com 1. if [浏览器 ...
dns重定向_重发和重定向有什么区别与重定向应用
weixin_39593061的博客
11-29 873
重发和重定向有什么区别重发方式1:request.getRequestDispatcher("new.jsp").forward(request, response);//转发到new.jsp方式2:重定向方式一:response.sendRedirect("new.jsp");//重定向到new.jsp方式二:转发是服务器行为,重定向是客户端行为如何理解重定向与转发重定向,其实是两次reques...
僵尸网络 Botnet
RedArvin的博客
10-30 3782
(最近学习人工智能有个识别DGA域名的小作业,就去了解了一下僵尸网络。) 1.什么是僵尸网络 僵尸网络 Botnet 是指采用一或多传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。[FROM 百度百科] 僵尸主控机通过 ** 命令和控制信道(C&C) **与被感染主机通信,利用被感染主机进行挖矿、发送大量垃圾邮件、实施ddos攻击、部署中转服务器等。 2.几个重要概念 (1)命令控制信道 命令控制信道(Command & Contr
类型的DNS攻击以及应对方法
熟能生巧
01-24 3374
DNS攻击时,可能发生各情况,不过,攻击者经常使用两方法来利用被攻击DNS服务器。 首先,攻击者可以做的第一件事情是重定向所有入站流量到他们选择的服务器。这使他们能够发动更多的攻击,或者收集包含敏感信息的流量日志。 第二件事情是捕捉所有入站电子邮件。更重要的是,第二做法还允许攻击者发送电子邮件,利用受害者企业的域名以及其良好的声誉。让事情更糟的是,攻击者还可以选择同时做上述两攻击
DNS报文结构实例解析
Txwillnottleaveyou的博客
02-18 2230
  原链接http://blog.sina.com.cn/s/blog_65db99840100l4n1.html   抓迅雷的包,发现迅雷整了N多和下载无关的东西,比如kankan,games啥的,启动的时候发了一堆DNS请求来解析这些整合的东西。于是学习了一下DNS报文的结构       DNS请求报文的结构是 0                                ...
DNS转发的两模式
热门推荐
weixin_33912453的博客
04-26 1万+
DNS转发 dns转发分为2,全局转发和特定区域转发 全局转发是对非本机所负责解析区域的请求,全部转发给指定的服务器 特定区域转发是仅转发对特定的区域的请求,比全局转发优先级高 而转发又分为2模式:first和only 一、测试:全局转发的only模式 准备客户机一台,dns服务器两台,将dns1服务器的转发地址者设置为dns2,dns1有两个网卡一个是内网,一个是外网,dns2只...
请问vpp中函数vnet_dns_resolve_name和vnet_send_dns4_reply怎么用来构造节点解析dns包并做回复,给出方法并写出代码和注释
07-11
要使用函数`vnet_dns_resolve_name`和`vnet_send_dns4_reply`来构造节点解析DNS包并进行回复,你需要按照以下步骤进行操作: 步骤一:导入相关的头文件和库 ```c #include #include #include <vnet/dns/dns.h> `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值