压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

多省份DNS系統(tǒng)遭遇DDoS攻擊實(shí)錄

  國(guó)家首屆網(wǎng)絡(luò)信息安全宣傳周才剛剛過(guò)去, 12月10日就爆發(fā)了國(guó)內(nèi)今年規(guī)模最大的針對(duì)運(yùn)營(yíng)商DNS網(wǎng)絡(luò)的惡性DDoS攻擊事件。攻擊正在發(fā)生,后續(xù)可能有很多變化,先來(lái)分析一下,截至目前發(fā)生的事情。

  攻擊背景:

  從12月10日凌晨開(kāi)始,現(xiàn)網(wǎng)監(jiān)控到攻擊流量突增的情況,到上午11點(diǎn)開(kāi)始,攻擊開(kāi)始活躍,多個(gè)省份不斷出現(xiàn)網(wǎng)頁(yè)訪問(wèn)緩慢,甚至無(wú)法打開(kāi)等故障現(xiàn)象。下圖是某省運(yùn)營(yíng)商的流量監(jiān)控截圖,從圖中可看出正常訪問(wèn)流量都在百兆以內(nèi),高峰時(shí)竟然出現(xiàn)了高達(dá)6G的攻擊混合流量,對(duì)DNS網(wǎng)絡(luò)的沖擊可想而知。

  經(jīng)過(guò)分析樣本發(fā)現(xiàn),12月10日的攻擊主要是針對(duì)多個(gè)域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的隨機(jī)查詢攻擊;11日凌晨攻擊出現(xiàn)變種,出現(xiàn)針對(duì)其他域名的攻擊,攻擊源主要來(lái)自各省內(nèi)。攻擊者不僅在短暫的時(shí)間內(nèi)發(fā)起了峰值大于6G bps的查詢請(qǐng)求(全國(guó)范圍內(nèi)大于100G的攻擊),而且連續(xù)的變換二級(jí)域名,造成各省的DNS遞歸服務(wù)器延遲增大,核心解析業(yè)務(wù)受到嚴(yán)重影響。

  ,這次攻擊發(fā)起的方式有兩種可能:一是攻擊者控制了大量被攻擊省內(nèi)的肉雞;二是利用攻擊工具模擬被攻擊省份的內(nèi)網(wǎng)IP。向DNS的遞歸節(jié)點(diǎn)發(fā)起隨機(jī)域名Flood,由于二級(jí)域名隨機(jī),且在遞歸服務(wù)器的緩存中并不存在,遞歸服務(wù)器需要不斷的迭代去查詢最終的結(jié)果,從而能進(jìn)一步加劇了遞歸服務(wù)器的負(fù)載,造成服務(wù)器性能耗盡。

  攻擊者調(diào)用大量肉雞發(fā)起針對(duì)多個(gè)域名的隨機(jī)查詢攻擊,由于本地DNS服務(wù)器上沒(méi)有相應(yīng)的記錄,需要向外遞歸查詢,極大的消耗了服務(wù)器性能。

  本次攻擊仍在繼續(xù),攻擊的動(dòng)機(jī)不明確,所以暫時(shí)不能從根源處徹底解決問(wèn)題。網(wǎng)絡(luò)的運(yùn)維人員只能見(jiàn)招拆招,靈活應(yīng)對(duì)。

  在防護(hù)工具的選擇上,建議用具備專業(yè)DDoS防護(hù)能力的專業(yè)設(shè)備。因?yàn)榛A(chǔ)的網(wǎng)絡(luò)安全設(shè)備(FW、IPS等)不具備精準(zhǔn)識(shí)別此類(lèi)攻擊的能力,而且他們?cè)诠暨^(guò)程中,本身就是脆弱的,極易成為第一塊倒下的多米諾骨牌;其次設(shè)備的處理性能要高,本次攻擊從目前監(jiān)測(cè)到的數(shù)據(jù)看,峰值流量已經(jīng)接近10G,要求防護(hù)設(shè)備具備高性能的特點(diǎn)。

  在具體部署中,建議旁路部署,借助靈活的路由策略可實(shí)現(xiàn)清洗能力的共享。清洗能力可輕松覆蓋全省,不留死角。

  最后,在應(yīng)急響應(yīng)支持團(tuán)隊(duì)的支持中,要聯(lián)系應(yīng)急支持服務(wù)經(jīng)驗(yàn)豐富的團(tuán)隊(duì),以免造成大面積斷網(wǎng)。

  綠盟科技攻防團(tuán)隊(duì)在監(jiān)控到攻擊發(fā)生后,立即啟動(dòng)應(yīng)急處理流程,截至目前,協(xié)助處理的各省的DDoS攻擊現(xiàn)象均已得到有效控制。

 

上一篇:智能無(wú)懼挑戰(zhàn) 山石網(wǎng)科轟動(dòng)RSA2015

下一篇:山石網(wǎng)科劉向明:數(shù)據(jù)中心虛擬化安全可控