如何发现“利用DNS放大攻击”的服务器

很多网络服务异常，往往都是攻击造成的，但原因有很多种，如何分析定位，则是解决问题的关键。DNS放大攻击是一种拒绝服务攻击。攻击者利用僵尸网络中大量的被控主机，伪装成被攻击主机，在特定时间点，连续向多个允许递归查询的DNS服务器，发送大量DNS服务请求，迫使其提供应答服务。经DNS服务器放大后的大量应答数据，再发送到被攻击主机，形成攻击流量，导致其无法提供正常服务甚至瘫痪。

创新互联公司专注于企业成都营销网站建设、网站重做改版、宜黄网站定制设计、自适应品牌网站建设、html5、成都做商城网站、集团公司官网建设、外贸营销网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为宜黄等各大城市提供网站开发制作服务。

0x11问题描述

XX.XX.29.4为某大型行业用户的DNS服务器，需要对外提供DNS服务。近期，该用户网络拥塞，运维部门在部署科来网络回溯分析系统后发现，在可疑域名警报功能中触发有大量警报。

0x12分析过程

198.24.157.245(经查为美国IP)在短时间内向XX.XX.29.4服务器发送了大量的DNS请求，请求的域名为dnsamplicationattacks.cc。(DNS Amplification Attacks字面意思就是DNS放大攻击。)

198.24.157.245发出的请求包为101字节，DNS服务器返回的应答包为445字节，从而使通信流量放大了4.4倍。

攻击者利用大量被控主机，向大量的DNS服务器发送DNS请求。但请求中的源IP地址，均被伪造成被攻击者的IP(在本例中为198.24.157.245)，于是DNS服务器会向被攻击者返回查询结果。通常查询应答包会比查询请求包大数倍甚至数十倍(在本例中为4.4倍)，从而形成对198.24.157.245地址的流量放大攻击。

在本例中，客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中，攻击过程见下图。

0x13 分析结论

攻击者利用大量被控主机，在短时间内向DNS服务器(XX.XX.29.4)发送大量的DNS请求，查询应答包会比查询请求包大4.4倍，造成大流量发送到伪造的源IP地址(198.24.157.245)，形成对该IP地址的拒绝服务攻击。

建议用户：

增大链路带宽;

DNS服务器关闭递归查询;

一旦发生大规模DNS放大攻击，可以马上与ISP联系，在上游对攻击进行过滤。

0x14 价值

黑客常常利用DNS服务器的特性，将其做为攻击放大器，可依靠僵尸网络发布攻击，往往可以制造极大的攻击流量，而其本身又具有隐蔽性。然而，在本案例中我们看到，通过网络分析技术可以把攻击行为完全梳理出来，达到网络攻击可视化的效果;并且通过协议解码，可以清晰的分析出攻击者使用的攻击手段。利用网络分析技术，通过2到7层的深度协议分析、精确解码、详细统计数据，为客户的信息系统以及网络安全保驾护航。

名称栏目：如何发现“利用DNS放大攻击”的服务器
浏览路径：http://www.csdahua.cn/qtweb/news22/528122.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网