让DNS服务器远离疯狂的DDoS攻击

简介:

本文讲的是 :   让DNS服务器远离疯狂的DDoS攻击 ,  【IT168 技术】针对DNS的DDoS 攻击(分布式拒绝服务攻击)现已成为比较常见的极具破坏力的互联网攻击方式之一:

  ● 今年1月,国内出现大规模网站无法存取的事件,原因是DNS被劫持。当地用户连到许多以.com与.net为域名的网站时,会被导引到美国Dynamic Internet Technologies公司的IP地址。

   3月初,谷歌提供给大众的公用DNS服务器8.8.8.8,遭到DNS劫持的持续时间长达22分钟,当时所有使用该DNS服务的网络流量都被绑架,传到巴西和委内瑞拉境内。

   3月底、4月初,谷歌DNS服务又发生遭到土耳其网络供货商的拦截事件。对方设立了DNS服务器假装是谷歌DNS,挟持当地的网络联机使用假冒的谷歌DNS。

  总体而言,DNS攻击事件未来仍将不断发生,而且遭遇的频率将越来越频繁,又很难预防与实时反应。他们是如何实施攻击的?我们又该如何防范呢?

让DNS服务器远离疯狂的DDoS攻击
▲服务器被DDoS攻击情景示意图

  欺骗式攻击

  利用DNS基础架构来制造DDoS攻击其实相当容易:攻击者向互联网上的域名服务器发送请求,然后域名服务器做出反应。

  攻击者伪装成目标对象的地址而不是基于自身IP地址来发送请求,这些目标对象包括:网页服务器、路由器、另外一个域名服务器、或者互联网上的任何一个节点。

  DNS欺骗请求相当容易,因为这些请求通常通过UDP(无连接用户数据报协议)进行传输。从任意IP地址发送DNS请求相当简单,如同在明信片上写上回信地址一样。

  尽管容易,欺骗请求还不足以使攻击对象瘫痪,如果对这些请求的回应并不比这些请求自身大的话,攻击者将把大量欺骗请求发送到目标对象上。为了最大限度的对目标对象造成伤害,对每个查询应该获得一个非常大的回应,才可以轻松造成影响。

  采用DNS扩展名机制 (EDNS0)后,DNS自1999年以来得到了极大扩展,基于UDP 的DNS信息已经可以携带大量数据。一个回应便能达到4096个字节,而绝大多数请求则在长度上不超过100 个字节。

  较早之前,要在互联网Namespace里找到一个较大的回应相对困难,但是现在,各大企业已经开始部署DNSSEC(域名系统安全扩展),实现较大回应已经变得很容易。DNSSEC将密钥和数字签名存储在Namespace里记录在册,这些都会起到积极作用。

  现在,充斥网络的图片攻击者正在从你的网页服务器IP地址上向isc.org 域名服务器发送欺骗请求。每个44字节请求,你的网页服务器都会收到4077字节的回应,增大了近93倍。

  现在让我们快速计算一下,就能知道这种状况有多糟。假设每个攻击者接入互联网的带宽都是1Mbps,每秒他可以发出2840条44字节的请求,那这个请求数据流就会带来近93Mbps的流量送达你的网页服务器,而每11次攻击就会达到1G。

  那么,那些反社会的攻击者到哪里去找到这10个帮凶来共同完成这次攻击呢?事实上,他们不需要找任何人,他们会用到一种由成千上万台电脑组成的僵尸网络来完成攻击。

  结果是毁灭性的。在一家DDoS攻击缓解公司Prolexic发布的全球DDoS攻击季报中我们可以看到,最新发现的一个基于DNS的客户受攻击案例,其流量达到了167Gbps,此外,Prolexic 在报告中还指出,DDoS攻击所占用的带宽平均每个季度已经增加了 718 %,达到48Gbps。

  但是,我们能不能对isc.org域名服务器进行修正,让它能够识别来自同一IP地址的相同数据在不停发送请求呢?难道这些攻击真的无法遏制吗?

  当然能,但绝非只有isc.org域名服务器才可以被攻击者利用来放大攻击流量,还有其他权威域名服务器,但受此影响最大的要算是开放式递归域名服务器了。

  开放式递归域名服务器就是一种简单的域名服务器,它可以对任一IP地址发来的递归请求进行处理。我可以把请求 forisc.org的数据发给它,然后它会给我一回应,你也可以做。

  互联网上不应有太多开放式递归域名服务器。递归域名服务器的作用,就是代表DNS用户在互联网Namespace上查询数据,就如同在笔记本电脑或者智能手机上查询数据那样。通常情况下,网管员建立递归域名服务器,供某一特定群体使用(就像您以及您的团队)。除非这些社区使用的是OpenDNS 和谷歌公共DNS,但设置这样的公共开放式DNS服务,其目的并不是供诸如摩尔多瓦这样的国家来使用。那些具有公众精神、安全意识且能力最强的管理员,可以在他们的递归域名服务器上设置接入控制,以此来限制对授权系统的使用。

  既然如此,究竟多大的问题,我们才可以启用递归域名服务器呢?答案是很大。Open Resolver Project收集了总共3300万个开放式递归域名服务器的名单。黑客们可以向许多服务器发送欺骗请求,是因为他们更愿意将isc.org数据注入你的网页服务器、域名服务器、边界路由器并最终导致他们瘫痪。

  以上就是基于DNS的DDoS攻击的工作原理,但谢天谢地,我们还是有一些方法来与它们相抗衡的。  

原文发布时间为:2015年7月6日

本文作者:Infoblox基础设施副总裁Cricket Li

本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT1684

原文标题 :让DNS服务器远离疯狂的DDoS攻击

目录
相关文章
|
4月前
|
存储 缓存 网络协议
阿里云特惠云服务器99元与199元配置与性能和适用场景解析:高性价比之选
2025年,阿里云长效特惠活动继续推出两款极具吸引力的特惠云服务器套餐:99元1年的经济型e实例2核2G云服务器和199元1年的通用算力型u1实例2核4G云服务器。这两款云服务器不仅价格亲民,而且性能稳定可靠,为入门级用户和普通企业级用户提供了理想的选择。本文将对这两款云服务器进行深度剖析,包括配置介绍、实例规格、使用场景、性能表现以及购买策略等方面,帮助用户更好地了解这两款云服务器,以供参考和选择。
|
4月前
|
存储 缓存 负载均衡
阿里云服务器实例选择指南:热门实例性能、适用场景解析对比参考
2025年,在阿里云的活动中,主售的云服务器实例规格除了轻量应用服务器之外,还有经济型e、通用算力型u1、计算型c8i、通用型g8i、计算型c7、计算型c8y、通用型g7、通用型g8y、内存型r7、内存型r8y等,以满足不同用户的需求。然而,面对众多实例规格,用户往往感到困惑,不知道如何选择。本文旨在全面解析阿里云服务器实例的各种类型,包括经济型、通用算力型、计算型、通用型和内存型等,以供参考和选择。
|
2月前
|
网络协议 安全 Linux
阿里云服务器国际站dns服务器不可用怎么办?dns可以随便改吗?
阿里云服务器国际站dns服务器不可用怎么办?dns可以随便改吗?
|
3月前
|
边缘计算 网络协议 安全
DDoS攻击:网络世界的“洪峰考验”与应对逻辑
本文介绍了DDoS攻击的运行机制及其影响,并提供了多层次的防御策略。DDoS攻击通过海量流量使目标服务器过载,造成服务中断,对电商和在线平台带来巨大经济损失与用户信任危机。防御措施包括基础设施优化、流量调度及云端协同防护等技术手段。针对中小企业,推荐使用如非凡云提供的弹性防护方案,含200G免费DDoS防御与自动带宽扩容功能,有效降低攻击风险和技术门槛。
386 0
DDoS攻击:网络世界的“洪峰考验”与应对逻辑
|
4月前
|
存储 机器学习/深度学习 应用服务中间件
阿里云服务器架构解析:从X86到高性能计算、异构计算等不同架构性能、适用场景及选择参考
当我们准备选购阿里云服务器时,阿里云提供了X86计算、ARM计算、GPU/FPGA/ASIC、弹性裸金属服务器以及高性能计算等多种架构,每种架构都有其独特的特点和适用场景。本文将详细解析这些架构的区别,探讨它们的主要特点和适用场景,并为用户提供选择云服务器架构的全面指南。
627 18
|
4月前
|
存储 弹性计算 安全
阿里云服务器ECS通用型规格族解析:实例规格、性能基准与场景化应用指南
作为ECS产品矩阵中的核心序列,通用型规格族以均衡的计算、内存、网络和存储性能著称,覆盖从基础应用到高性能计算的广泛场景。通用型规格族属于独享型云服务器,实例采用固定CPU调度模式,实例的每个CPU绑定到一个物理CPU超线程,实例间无CPU资源争抢,实例计算性能稳定且有严格的SLA保证,在性能上会更加稳定,高负载情况下也不会出现资源争夺现象。本文将深度解析阿里云ECS通用型规格族的技术架构、实例规格特性、最新价格政策及典型应用场景,为云计算选型提供参考。
|
4月前
|
安全 网络协议 网络安全
DDoS攻击来袭,如何防御DDoS攻击以保障数据安全无忧?
DDoS攻击来袭,如何防御DDoS攻击以保障数据安全无忧?
253 20
|
4月前
|
存储 机器学习/深度学习 人工智能
阿里云服务器第八代通用型g8i实例评测:性能与适用场景解析
阿里云服务器通用型g8i实例怎么样?g8i实例采用CIPU+飞天技术架构,并搭载最新的Intel 第五代至强可扩展处理器(代号EMR),不仅性能得到大幅提升,同时还拥有AMX加持的AI能力增强,以及全球范围内率先支持的TDX机密虚拟机能力。这些特性使得g8i实例在AI增强和全面安全防护两大方面表现出色,尤其适用于在线音视频及AI相关应用。本文将深入探讨g8i实例的产品特性、优势、适用场景及规格族,以帮助您更好地了解这款产品,以供参考和选择。
|
5月前
|
域名解析 弹性计算 负载均衡
新手上云教程参考:阿里云服务器租用、域名注册、备案及域名解析流程图文教程
对于想要在阿里云上搭建网站或应用的用户来说,购买阿里云服务器和注册域名,绑定以及备案的流程至关重要。本文将以图文形式为您介绍阿里云服务器购买、域名注册、备案及绑定的全流程,以供参考,帮助用户轻松上手。
|
5月前
|
存储 人工智能 并行计算
2025年阿里云弹性裸金属服务器架构解析与资源配置方案
🚀 核心特性与技术创新:提供100%物理机性能输出,支持NVIDIA A100/V100 GPU直通,无虚拟化层损耗。网络与存储优化,400万PPS吞吐量,ESSD云盘IOPS达100万,RDMA延迟<5μs。全球部署覆盖华北、华东、华南及海外节点,支持跨地域负载均衡。典型应用场景包括AI训练、科学计算等,支持分布式训练和并行计算框架。弹性裸金属服务器+OSS存储+高速网络综合部署,满足高性能计算需求。

相关产品

  • 云解析DNS
  • 推荐镜像

    更多
  • DNS