DNS放大攻击的研究.docx

该【DNS放大攻击的研究 】是由【知识徜徉土豆】上传分享，beplayapp体育下载一共【10】页，该beplayapp体育下载可以免费在线阅读，需要了解更多关于【DNS放大攻击的研究 】的内容，可以使用beplayapp体育下载的站内搜索功能，选择自己适合的beplayapp体育下载，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此beplayapp体育下载到您的设备，方便您编辑和打印。DNS放大攻击的研究??????????摘要:随着信息网络安全的发展,互联网上出现了一种新的分布式拒绝服务攻击方式一DNA放大攻击,这种攻击能利用DNs协议的漏洞产生大量虚假通讯,对互联网构成重大威胁。本文介绍了DNS放大攻击的原理,研究了DNS放大攻击的特点和造成的主要危害,并提出防范策略。关键词:DNS放大攻击;递归查询;DNS服务;:,它通过对互联网上的政府网站、金融网站、信息门户网站、在线交易网站、企业门户和电子政务系统等重要系统发出大量的数据包,使目标主机无法对外提供正常服务。开始多采取简单的单机***方式,随着互联网用户的快速增长和僵尸网络控制技术的迅速发展,集中大量僵尸主机发动分布式拒绝服务攻击,即DDOS攻击成为可能,这种攻击能够瞬间产生极大的流量造成被攻击网站带宽资源耗尽,从而无法对外提供任何服务。由于分布式拒绝服务攻击能够使用多种类型的网络协议输送流量,攻击包的源IP具有随机伪造性,并且实施攻击的“***”分布在不同省份甚至是在境外,所以在短期内几乎没有追查并切断攻击源的可能性。,分布式拒绝服务攻击有两种类型,分别为带宽资源耗尽型和计算资源耗尽型。,导致带宽消耗不能提供正常的网络服务,这类攻击以Smurf攻击、UDPFlood攻击、MStreamFlood攻击等为代表。针对此类攻击一般采取的措施是在路由器或防火墙上限制流量,从而保证正常带宽,单纯带宽耗尽型攻击比较容易被识别和阻挡。,消耗目标服务器的关键资源,例如CPU、内存等,导致其无法提供正常服务,这类攻击以SynFlood攻击、NAPTHA攻击等为代表。资源耗尽型攻击利用系统对正常网络协议处理的缺陷,使系统难于分辨正常流和攻击流,导致防范难度较大,是目前业界比较关注的焦点问题。,每两年就有影响巨大的大规模分布式拒绝服务攻击事件发生:2000年,Yahoo、eBay、、C[来自著名商业网站曾连续遭到分布式拒绝服务攻击,造成的损失达数十亿美元;2002年,全球13台互联网域名解析服务器遭到分布式拒绝服务攻击,险些导致全球互联网崩溃;2004年,腾讯、江民、新浪等国内知名网站也陆续被有组织的黑客人侵或遭受严重的分布式拒绝服务攻击,遭受重大损失;2006年,百度、万网、新网等知名网站因遭遇大规模的分布式拒绝服务攻击一度停止服务;2008年,奥运信息网络安全指挥部将分布式拒绝服务攻击作为奥运会核心网络和重要信息系统的重大安全隐患,制定专项应急处置预案;2009年5月19日,由于暴风影音网站的域名解析系统受到网络攻击出现故障,导致电信运营企业的递归域名解析服务器收到大量请求而引发拥塞,江苏、河北、山西、广西、浙江等省陆续出现互联网网络故障,部分互联网用户的服务受到影响。由此可见,分布式拒绝服务攻击已经对我国信息网络安全构成极大威胁。,其核心作用是为域名查找请求提供对应的IP地址,它可以将域名和IP地址相互映射,建立分布式数据库,使用户通过容易记忆的域名方便地访问互联网,而不用去记忆能被机器直接读取的IP地址。与主机表不一样,DNS服务器中的映射文件只包含有限的信息,当DNS服务器得到对某个主机的请求,而要求解析的主机地址不在缓冲区时,DNS服务器会向上一级服务器发送查询请求,更新DNS映射列表,来实现域名解析,这个过程就是DNS的递归查询。DNS协议在网络中是如此重要,但由于在最初设计时没有考虑它的安全问题,导致其存在很多安全漏洞,具有先天的脆弱性。恶意攻击者可以通过DNS劫持将人们引诱到假冒的银行网站或商业网站上,欺骗用户泄漏自己的银行账户密码等资料;可以采取DNS欺骗的方式将用户引导到包含恶意代码的网页;甚至还能利用它来进行DDOS攻击。,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定的时间点上,连续向多个允许递归查询的DNS服务器发送大量的DNS查询请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。如图2所示,要实现这种攻击,攻击者首先要找到支持递归查询的第三方DNS服务器并向其发送一个查询请求,这台DNS服务器随后会把这个查询按照递归的原则发送给其他DNS服务器。之后攻击者会向这些服务器发送一个DNS记录查询,在这些DNS服务器上存储一个文本记录用于进行放大攻击,接着攻击者会以被攻击者的IP地址向这些服务器发送带有EDNS选项的DNS查询信息,这些第三方DNS服务器会使用经过放大的文本进行回复,用大量的UDP数据包淹没被攻击者。“攻击放大器”进行DDOS攻击。一是DNS协议自身的弱点导致DNS查询请求报文及查询应答报文均可被伪造,网络攻击者可以通过构造虚假的源地址伪装成被攻击主机向DNS服务器发送DNS查询请求,同时还可以隐藏攻击者的身份;二是DNS服务器对DNS查询请求是“有求必应”,并且无法判断一个DNS查询请求是否为恶意攻击;三是DNS服务器解析域名时,应答报文比查询报文要大,可以实现放大攻击的效果。,攻击者能够向DNS服务器发出60个字节的查询信息,收到512个字节的回应信息,。随着对DNS协议的深入研究,攻击者发现利用具有递归查询功能的DNS服务器可以把DNS回应数据放大到66倍。如果数以万计的计算机,伪装成被攻击主机同时向DNS服务器连续发送大量的DNS请求数据包,由DNS服务器返回的应答数据流量成倍放大,甚至能够超过每秒钟100GB,这对被攻击主机来说是致命的攻击行为。,为实施DNS放大攻击提供了便利条件。网络攻击者可以利用僵尸网络中大量的被控主机,在特定的时间点上,连续向DNS服务器发送大量的请求引发DNS解析过程,可以形成极大的攻击流量,同时具有极强的隐蔽性。3DNS放大攻击对网络安全的重大危害作为一种新型的分布式拒绝服务攻击方式,DNS放大攻击对当前信息网络安全构成重大威胁。,影响面广DNS放大攻击能够产生大量数据流,对重要网站而言,该攻击可能会严重影响网站的正常使用和运行,严重时会造成系统瘫痪。除此之外,该攻击还会影响网络接入服务的提供者一电信运营商的网络和不同层级、地域的DNS服务器。大量的数据包会占用带宽资源,使网络拥塞,造成网络丢包、时延增大,严重时甚至导致电信运营商的网络和DNS服务器瘫痪,进而导致互联网崩溃。,难于发现DNS放大攻击能够在瞬间产生极大的流量、并且使用正常的DNS服务器作为跳板,攻击包的源IP具有随机伪造性,实施攻击的被控主机又分布在不同省份甚至是在境外,所以在短期内无法迅速追查并切断攻击源。、隐蔽性好等特点,DNS放大攻击是一种难以防范的攻击手段,其攻击目的即可以是单纯的娱乐或个人恶意报复,也可以是集团化、有预谋的犯罪行为,甚至带有政治目的,特别是针对政府部门的网站和一些大型商业网站的攻击,如果处置不当,极有可能会损害我国政府形象和国际声誉。,利用掌握的僵尸网络通过DNS服务器向互联网上的目标主机发动攻击,目标主机由于CPU或内存耗尽,从而无法对正常业务的请求做出响应,造成业务中断。同时,网络本身也会成为攻击的目标,当大流量攻击发生时,网络访问链路会被垃圾流量占用造成拥塞,甚至网络设备本身也会因为不堪重负而导致负载升高,最终宕机。除此之外,由于DNS放大攻击需要DNS服务器作为跳板,而国内又存在大量安全性较差的免费DNS服务器,如果这些DNS服务器因为遭到攻击者利用而无法提供服务,正常的域名无法解析。按照DNS的递归查询原则,这些被堆积的DNS请求会访问电信骨干DNS服务器,导致其访问量突然增加,网络处理性能下降,最终造成大规模的网络故障。,相对于目前防范措施比较完善的各种Web服务,基于DNS的防范依然很弱,易被黑客利用攻击。由于DNS放大攻击利用域名解析协议设计上的先天[来自,使用正常数据包进行通信,防火墙和入侵检测设备无法进行有效的拦截。4针对DNS放大攻击的防范建议由于DNS放大攻击具有隐蔽性好、攻击流量大、不需要大量被控主机等特点,难于发现、难于防范,所以除了采取传统的防御措施外,还需要更加有力的手段进行支持。、新闻网站和重要政府门户网站的综合防护措施核心网站、新闻网站和重要政府门户网站关系到我国政府形象和国际声誉,处于非常重要的地位,这些网站应严格落实等级保护的有关规定,关闭不必要的系统服务,定期检查隐患并及时更新系统修补漏洞,建立灾难备份恢复系统,适当增加网络带宽,安装防火墙和入侵检测设备,正确配置并开启对拒绝服务攻击的发现和阻断功能,实行24小时实时监测。,成立指挥调度中心和技术专家组公安部与国内安全行业中擅长分布式拒绝服务攻击防护技术且实战经验丰富的厂商密切合作,对于潜在攻击进行快速的分析和响应,尽可能缩短新型攻击所产生的真空期。同时由牵头部门建立应急预案,模拟实战进行应急综合演练,找出应急体系和技术架构所存在的短板和瓶颈,并及时修补和完善预案。,使DNS服务器仅为可信的网络执行递归查询,并且按照有关规定保存系统日志,为后期处置提供支持。二是在运营商边缘路由器上开启源地址验证功能,能够有效地抑制伪造的数据包在骨干网上传播,不仅能减轻运营商带宽的压力,也能有效的抑制攻击者实施DNS放大攻击。三是提高国内DNS服务器自身的安全防范能力,配置相应的监控设备,对DNS请求来源和应答目标进行分析和验证。,2008年来自中国的僵尸网络攻击增长了153%,这些僵尸网络都可能被用来发动DNS放大攻击。因此在做好基础信息网络和重要信息系统安全防范的同时,要加大对僵尸网络的治理力度,减少分布式拒绝服务攻击可利用的攻击源,建立良好的网络环境。,各种漏洞无法得到根本性解决,唯一的解决方案就是重新开发新的域名解析协议。早在1997年1月,有些国家就开始发展DNS安全扩展协议,这一协议创建的根本目的是为了解决域名解析协议中存在的安全漏洞,使其不再容易遭受攻击。不过,由于经济和法律方面的原因,该协议并未得到普及,但随着不断涌现出的漏洞问题,使用新的域名解析协议已经是大势所势。(责编岳逍远)参考文献:[1]罗杰云,《DNS协议的安全漏洞及其防范浅析》.[2]EdSkoudis.《防止DNS放大攻击的若干措施》作者简介:刘威(1981-),男,天津市公安局互联网监测大队大队长,硕士,主要研究方向:恶意代码与漏洞分析。?-全文完-