DDoS 攻防之 DNS Flood |学习笔记

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介: 快速学习 DDoS 攻防之 DNS Flood

开发者学堂课程【互联网安全-DDoS 攻防原理及实战:DDoS 攻防之 DNS Flood】学习笔记,与课程紧密联系,让用户快速学习知识

课程地址:https://developer.aliyun.com/learning/course/356/detail/4190


DDoS 攻防原理之 DNS Flood

内容介绍:

一、协议基础

二、HTTPS 攻击介绍

三、DNS FLOOD 成为 UDP 攻击趋势

四、针对授权域服务器的 DRDoS

五、DNS 攻击---反射攻击

一、协议基础

1.UDP 协议介绍

(1)UDP(User Datagram Protocol)不可靠的、无连接的服务,传输效率高(发送前时延小),一对一、一对多、多对一、多对多、面向报文,尽最大努力服务,无拥塞控制。

使用 UDP 的应用:域名系统(DNS);视频流;IP 语音(VoIP)。

(2)TCP 协议和 UDP 协议的特点:

TCP

UDP

可靠性

可靠

不可靠

连接性

面向连接

无连接

报文

面向字节流

面向报文(保留报文边界)

效率

传输效率低

传输效率高

双工性

全双工

一对一、一对多、多对一、多对多

流量控制

有(滑动窗口)

拥塞控制

有(慢开始、拥塞避免、快重传、快恢复)

二、DNS请求&应答报文

image.png

DNS 构建在 UDP 协议之上,截图是 NDS 请求报文,左侧是 query DNS 请求,右侧是 response 应答报文。DNS 是一问一答的形式。

左侧查询了 www.sina.com.cn 的记录,右侧对这个域名的请求进行了应答

2.DNS 结构图

image.png

从客户开始,向代理到缓存服务器进行 DNS 请求,由缓存服务器向根服务器(迭代域服务器)发起迭代请求,DNS 参与迭代的过程,最后获取到 DNS 解析记录。

3.DNS 解析举例

Client 端image.png向缓存 client DNS server 发起请求获取 www.abc.com 的 IP 地址,解析记录;

有些情况下,缓存 client DNS server 不知道,所以向跟域“.com”去查询www.abc.com 的 DNS Server 以及它的 IP;

跟域知道 www.abc.com 的 DNS Server 向缓存服务器发送 www.abc.com 的 DNS Server 及它的 IP 地址;

缓存服务器再次向 abc.com 二级域名 DNS Server 发送查询请求,由 abc.com DNS Server 返回发送 www.abc.com 的 IP 地址;

缓存服务器把 www.abc.com 的 IP 地址1.1.1.1存起来以备日后使用并发送到 client端。

三、DNS FLOOD 成为 UDP 攻击趋势

1.UDP 攻击源 IP 随机伪造难以追查。是一个不可靠的协议,不需要向 TCP 一样三次握手验证。一问一答可以随机构造很多请求。

2.UDP 协议承载的 DNS Flood 攻击。简单地说,越上层协议上发动的 DDoS 攻击越难以防御,因为协议越上层,与业务关联越大,防御系统面临的情况越复杂。

四、针对授权域服务器的 DRDoS

image.png

攻击者向海量的递归服务器发送请求,如果所有递归服务器都没有地址的话就会向他们的授权域服务器发起请求得到地址并保存。

全球有近1600万缓存服务器,如果都来查询那授权域服务器是扛不住的。

五、DNS 攻击---反射攻击

image.png

1.DNS 攻击--解析

小带宽攻击者用很小的流量模拟发送电子请求,原地址伪造为一个被攻击者的用户,DNS 服务器不知道攻击源是伪造的,会把 DNS 请求回给源 IP(其实现在已经是被攻击者 IP),回应与请求的比例达到数十倍甚至上百倍,图中是25倍,发送 4M 的请求得到 100M 的反射流量,扩大攻击能力,是现在 DNS 及其他方式中常用的反射攻击方式。

2.DNS 攻击--示例

抓包示例:

image.png

可以看到,源 IP 都是随机的,攻击 IP 打的是 DNS 协议,被攻击的地址被查询了域名。

相关文章
|
4月前
|
缓存 网络协议 安全
【网络攻防战】DNS协议的致命弱点:如何利用它们发动悄无声息的网络攻击?
【8月更文挑战第26天】DNS(域名系统)是互联网的关键组件,用于将域名转换为IP地址。然而,DNS协议存在安全漏洞,包括缺乏身份验证机制、缓存中毒风险及放大攻击的可能性。通过具体案例,如DNS缓存中毒和DNS放大攻击,攻击者能够误导用户访问恶意站点或对目标服务器实施DDoS攻击。为了防范这些威胁,可以采用DNSSEC实现数字签名验证、利用加密的DNS服务(如DoH或DoT)、限制DNS服务器响应以及及时更新DNS软件等措施。理解并应对DNS的安全挑战对于确保网络环境的安全至关重要。
120 2
|
6月前
|
弹性计算 负载均衡 监控
防御DDoS攻击:策略与技术深度解析
【6月更文挑战第12天】本文深入探讨了防御DDoS攻击的策略和技术。DDoS攻击通过僵尸网络耗尽目标系统资源,特点是分布式、高流量和隐蔽性。防御策略包括监控预警、流量清洗、负载均衡、弹性伸缩及灾备恢复。技术手段涉及IP信誉系统、深度包检测、行为分析、流量镜像与回放及云防护服务。综合运用这些方法能有效提升抗DDoS攻击能力,保障网络安全。
|
4月前
|
消息中间件 Kafka Java
Spring 框架与 Kafka 联姻,竟引发软件世界的革命风暴!事件驱动架构震撼登场!
【8月更文挑战第31天】《Spring 框架与 Kafka 集成:实现事件驱动架构》介绍如何利用 Spring 框架的强大功能与 Kafka 分布式流平台结合,构建灵活且可扩展的事件驱动系统。通过添加 Spring Kafka 依赖并配置 Kafka 连接信息,可以轻松实现消息的生产和消费。文中详细展示了如何设置 `KafkaTemplate`、`ProducerFactory` 和 `ConsumerFactory`,并通过示例代码说明了生产者发送消息及消费者接收消息的具体实现。这一组合为构建高效可靠的分布式应用程序提供了有力支持。
116 0
|
5月前
|
安全 网络安全
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
|
7月前
|
监控 安全 网络安全
深度解析:DDoS攻击与先进防御策略
DDoS 介绍 DDoS(分布式拒绝服务)攻击是一种恶意网络活动,旨在通过同时向目标系统发送大量请求或流量,使其无法正常运行或提供服务。攻击者通常利用网络上的多个计算机和设备,形成一个"僵尸网络"或"僵尸军团",并协调这些设备以集中地向目标发动攻击。 DDoS 攻击理论 目标系统(Target System):DDoS攻击的目标是一个网络服务、网站、服务器或应用程序,攻击旨在使其无法正常运行,从而造成服务中断。 攻击者(Attackers):攻击者是发起DDoS攻击的个人、组织或恶意软件的开发者。他们试图通过制造大量的流量来超过目标系统的处理能力。
313 0
|
云安全 网络安全 vr&ar
2.08Tbps超大峰值流量,连续四年持续走高丨2022年阿里云DDoS攻防态势报告
2022年,是跌宕起伏的一年。 一方面,数字化经济的蓬勃发展:元宇宙、VR游戏、NFT等概念方兴未艾,线上消费、远程办公、数字化系统进一步发展。 另一方面,世界经济还在经历疫情带来的阵痛,全球黑产动作频频,阿里云在四层检测到了史上最大的流量攻击,攻击手段更加智能化、隐蔽化,单一的防护策略遭遇瓶颈。
222 0
|
SQL 网络协议 安全
DDoS 介绍和发展史|学习笔记
快速学习 DDoS 介绍和发展史
312 0
DDoS 介绍和发展史|学习笔记
|
网络协议 安全 网络安全
DDoS 攻防之 Syn Flood|学习笔记
快速学习 DDoS 攻防之 Syn Flood
366 0
DDoS 攻防之 Syn Flood|学习笔记
|
28天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
65 2

相关产品

  • 云解析DNS
  • 推荐镜像

    更多