通過Spamhaus事件認識DNS反射放大攻擊
責編:admin |2015-02-11 10:31:15大家是否還記得Spamhaus遭受到嚴重的DDoS攻擊事件?3月26日,歐洲反垃圾郵件組織Spamhaus對外宣稱遭受300G流量的 DDoS攻擊,最后在專業抗DDoS服務商CloudFlare公司的幫助下化解。此次攻擊規模之巨堪稱史無前例,并且在事件細節上還上演了一幕羅生門。有專業人士分析,此次攻擊使用了DNS反射放大攻擊,因而才產生如此巨大的流量。那么, DNS反射放大攻擊是怎么一回事呢?
DNS反射放大攻擊針對開放式DNS服務系統,利用協議的安全漏洞進行拒絕訪問攻擊。攻擊者利用僵尸網絡向DNS服務器發送DNS請求,并將請求數據包的源地址設置為受害者地址。
在Spamhaus事件中,攻擊者發出的DNS請求數據包為36 bytes,而DNS服務器的響應數據包長為3000 bytes。攻擊者就是利用這種方式,將攻擊流量放大了近100倍。攻擊者偽裝來自Spamhaus向DNS系統發起請求,之后依靠返回的響應包對 Spamhaus發起攻擊,使得合法用戶不能訪問到Spamhaus的網站系統。
可以看到,開放式遞歸DNS服務器在攻擊中起了很大的 “作用”。事實上它的確是網絡中脆弱的一環,因其協議漏洞所致。但這并不意味著面對類似攻擊的時候只能素手就擒,合理的配置也能在一定程度上補救:通過配置僅對本地查詢做回應,可以在阻止分布式的僵尸網絡的部分攻擊。在Spamhaus事件中,遞歸DNS服務器沒有將僅對本地查詢做回應放到配置里,而是對任何來自系統的請求進行回應,使得偽造的源地址被全部響應。
DNS反射放大攻擊的本質依然是網絡資源和系統資源的消耗戰,回顧 Spamhaus事件的攻防細節可以看到,面對來自僵尸網絡的分布式攻擊,CloudFlare將攻擊流量分散到幾十個彼此獨立的數據中心去處理。看來,對付這一類攻擊,還得讓它再回到人民戰爭的汪洋中去。
DNS反射放大攻擊的本質依然是網絡資源和系統資源的消耗戰,回顧 Spamhaus事件的攻防細節可以看到,面對來自僵尸網絡的分布式攻擊,CloudFlare將攻擊流量分散到幾十個彼此獨立的數據中心去處理。看來,對付這一類攻擊,還得讓它再回到人民戰爭的汪洋中去。
下一篇:Cookie欺騙與代碼隱患