搜索
当前位置: 大赢家官网 > 递归查询 >

DNS拒绝服务攻击与对策

gecimao 发表于 2019-04-13 13:01 | 查看: | 回复:

  授权(权威)域名服务器同样也会被DNS反射攻击所利用。在授权域名服务器上无法进行源地址限制,因此,授权服务器首先应关闭递归解析功能。RRL(Response Rate Limiting)是授权服务器应对DNS反射攻击的一种机制,当服务器收到来自同一IP地址或子网的对相同域名的大量请求时,将丢弃这些重复查询。RRL能大幅降低DNS反射的流量,在BIND 9.9.4以上及NSD 3.2.15以上版本都已实现支持。

  在DNS反射攻击中,尽管汇聚到受害者的攻击流量是巨大的,但对单个DNS服务器而言流量和负载并不明显。另一种采用随机前缀的针对域名的拒绝服务攻击,则会对递归服务器的正常运行产生严重干扰。

  这种拒绝服务,攻击者向递归服务器发送目标域名下随机的子域名查询,如图2所示,由于每个请求的前缀都不相同,递归服务器必须把每个请求都转发给目标域名的授权服务器进行解析,攻击者的目的即是让目标域名的授权服务器瘫痪。当目标域名的授权服务器无法正常响应后,递归服务器对这些查询的解析就会失败,产生SERVFAIL的回答,如图3所示。

  通过对DNS流量的监测,我们发现此类针对域名的拒绝服务攻击几乎每天都在发生,只是攻击目标域名一直在变化。对特定域名的攻击一般持续数小时,长的可能超过一天。此类攻击的流量也非常巨大,在一个监测点我们就记录了多起单个域名超过1000万QPS的拒绝服务。从被攻击的域名来看,大多数目标都是游戏私服类网站,私服相互争斗已从攻击对手网站服务器转向攻击域名。2013年8月CN顶级域服务器的DDoS攻击,也是起于私服网站域名的攻击。

  这种攻击看起来和DNS反射放大攻击有一定的相似性,为何它会对递归服务器也造成巨大的影响呢?究其原因,DNS反射攻击的请求是对同一域名的,递归服务器可用缓存处理所有的查询,而随机前缀攻击的每个查询都必须经过递归解析,尤其在授权服务器无响应时,递归解析过程将等待很长一段超时时间,大量涌入的需要递归解析的查询将耗尽所有的递归解析器资源,从而正常的递归域名解析请求无法被处理。

  为了测试这种攻击对DNS服务器的影响,我们选择一个授权服务器无回应的域名,首先对其下一固定子域名进行大量重复查询,此时BIND递归客户端没有明显消耗(图4-a);当我们使用随机生成的子域名进行测试时(图4-b),BIND的递归客户端则迅速耗尽。

  这种攻击不仅威胁域名授权服务器,被利用的递归服务器也会出现瘫痪现象,若不采取有效的防护措施可能造成区域网络访问故障,与2009年“暴风”事件中递归服务器过载有几分相似。

  特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。

  受DNS障“后遗症”影响 十余省市未全面恢复正常上网2014/01/22

  由中国互联网协会主办的2018(第十七届)中国互联网大会将于2018年7月10日-12日在北京国....

  吴建平院士CCTV-1开讲:中国互联网的新时代。1月27日晚十点半档,中国工程院院士,...

  本次大会旨在落实国家关于发展下一代互联网的战略部署,充分利用高校在互联网研究上的先发优势...

本文链接:http://miamiaccounting.net/diguichaxun/48.html
随机为您推荐歌词

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 站点统计 | 网站地图

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright @ 2012-2013 织梦猫 版权所有  Powered by Dedecms 5.7
渝ICP备10013703号  

回顶部