认识达内从这里开始

DNS攻击是目前互联网领域比较常见的一种网络攻击形式之一，下面我们就通过案例分析来了解一下，DNS攻击类型与缓解措施。

1.Straightforward/NaiveDDoS

黑客使用僵尸网络创建不同端点，在同一时间段向受害者域名服务器直接发送海量DNS请求。

这种攻击会在短时间内产生大量流量，利用无数请求堵塞DNS服务器，让其无法响应，从而达到拒绝正常用户访问的目的。

缓解措施

通过使用基于硬件的网络设备或云服务解决方案可以过滤或限制网络流量。在一场naiveDDoS攻击中，攻击者不会欺骗源IP，用于攻击的源数量也有限制。因此，限制策略可以是拦截攻击者使用的IP。

2.IP欺骗

DNS默认依赖UDP协议，而由于UDP本身的特性导致，只需伪造数据包的IP地址，便可以轻易将源IP换成随机IP。在这种情况下，拦截IP地址变成了无用功，我们需要求助于别的方案。

缓解措施

使用DNS缓存服务器吸收大部分的DNS流量。

DDoS攻击者通常会使用不存在的域名以确保解析器会转发请求，已存在域名有可能会被保存在缓存中，这样的请求是不会被转发的。针对这种情况，我们建议在DNS缓存服务器中使用以下措施来限制来自不存在域名的DNS请求转发率。

如果传入请求的总数量超过阈值，则要求客户端从UDP切换到TCP。切换后，由于TCP需要三次握手，则可以避免源IP欺骗。

3.反射型DDoS

攻击者不仅会欺骗源IP，连目的地IP也不会放过。来自正常DNS解析器的DNS回答会被发回给受害者(被欺骗的IP)，而不是原攻击者的IP，从而导致受害者受到DDoS攻击。

这类攻击模式会放大DDoS的影响：黑客精心设计了能触发大量DNS回答的DNS请求，从而达到扩大伤害的效果。

在这种情况下，合法的DNS服务器反而会协助攻击。

缓解措施

限制同一IP地址的DNS请求/回答速率。

因为DNS解析器会使用缓存，所以理论上来讲，请求转发率会十分低，一定的频率限制应当会有效。

4.缓存投毒

与目标在于阻塞DNS服务器的DDoS攻击不同，缓存投毒的目标是将访客从真正的网站重定向到恶意网站。

攻击阶段

黑客发送DNS请求到DNS解析器，解析器会转发请求到Root/TLD/DNS服务器并等待回答。

黑客随后发送大量包含恶意IP地址的投毒响应到DNS服务器。黑客需要抢在DNS回答之前用伪造响应命中正确的端口与查询ID，这一步可以通过蛮力来提高成功机会。

任何正常用户请求该DNS解析器都会得到缓存中被投毒的响应，然后被重定向到恶意网站。

缓解措施

使用DNSSEC。DNSSEC通过提供签名过的DNS回答来阻止这类攻击。使用DNSSEC的DNS解析器会验证其从Root/TopLevelDomain(TLD)/DNS服务器得到的签名响应。

【免责声明】本文系本网编辑部分转载，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与管理员联系，我们会予以更改或删除相关文章，以保证您的权益!更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。