为什么要担心 DNS 攻击?

安全资讯 小布 428浏览 0评论

域名系统 ( DNS ) 是一种非常基本的协议和服务,它使 Internet 用户和网络设备能够使用人类可读的主机名而不是数字 IP 地址来发现网站。本文详细解释了 DNS 的工作原理。如果 DNS 服务受到攻击或无法正常运行,您的服务/网站可能无法访问。

在本博客中,我将描述 DNS 服务的主要威胁、缓解技术以及来自 保护的真实攻击数据和统计数据。

分布式拒绝服务

只要攻击盛行,分布式拒绝服务 ( DDoS ) 就会导致受害者的服务器变得不可用。DDoS 攻击甚至可以攻击 Amazon AWS 等领先的云提供商,

DNS 基础设施上有几种 DDoS 攻击:

直接/单纯的 DDoS

攻击者使用由不同端点组成的僵尸网络,在同一时间段内直接向受害者的权威名称服务器发送许多 DNS 请求。

这种攻击在大量执行时,可以用多个请求淹没 DNS 服务器,有效地导致它变得无响应,进而使合法客户端无法解析网站地址。

减轻

使用基于硬件的专用网络设备或基于云的解决方案来过滤和限制网络流量。

在单纯的 DDoS 攻击中,当攻击者不欺骗源 IP 时,攻击源的数量是有限的。因此,可以通过阻止这些 IP 来缓解这种情况。

源 IP 欺骗 DDoS

由于DNS默认依赖的UDP协议的性质,源IP地址很容易被欺骗,所以每个数据包都可以分配一个随机的IP地址。在这些情况下,阻止 IP 地址作为缓解方法变得毫无用处,需要采用不同的方法。

减轻

使用 DNS 缓存服务器来吸收大部分传入的 DNS 流量。

攻击者通常在其 DDoS 中使用不存在的域名来确保解析器转发请求。现有域名可能会保存在缓存中,因此不会被转发。出于这个原因,我们建议在 DNS 缓存服务器中实施以下缓解措施 – 限制转发域名不存在于缓存中的 DNS 请求的速率。

如果传入请求的总数超过阈值,则要求客户端从 UDP 切换到 TCP。切换到 TCP 会禁用源 IP 欺骗,因为需要 3 次握手。

下图显示了对受 Imperva 保护的权威 DNS 服务器的 DDoS 攻击:

这次袭击持续了 24 小时。Imperva 的 DNS 代理通过过滤和速率限制传递到服务器的请求来减轻攻击,因此服务器仅接收配置的速率。超过此速率限制的恶意流量已被阻止。

反射式 DDoS

攻击者不仅可以欺骗源 IP 地址,还可以欺骗目标 IP,因此来自合法 DNS 解析器的 DNS 响应将被发送回受害者(被欺骗的 IP)而不是原始攻击者的 IP,从而导致 DDoS受害者。

这种攻击方法放大了 DDoS 效应——攻击者制作的 DNS 请求会触发更大的 DNS 响应(例如“ANY”类型的请求或具有多个 DNS 记录的请求将触发更大的 DNS 响应),从而导致放大效应。

在这种情况下,合法的 DNS 服务器在攻击中发挥了积极作用。

减轻

限制具有相同源 IP 地址的 DNS 请求/响应的速率。

由于 DNS 解析器使用缓存,因此它们的请求转发速率应该非常低,因此合理的速率限制应该是有效的。

下图显示了对受 Imperva 保护的客户基础设施的严重组合 DDoS 攻击:

在这个 DDoS 攻击中,攻击者结合了两种不同的方法:

  • 反射和放大的 DNS DDoS 攻击 – 70 Gbps DNS 响应数据包 – 橙色。
  • 欺骗性 UDP DDoS 攻击 – 30 Gbps UDP 数据包 – 蓝色。

综合起来,攻击者实现了对目标的 100 Gbps DDoS 攻击。

在这次攻击中,DNS 响应数据包的平均大小为 1,400 字节,这使得放大系数为 20。因此,通过利用 3.5 Gbps 带宽的 DNS 请求,攻击者设法将其放大到 70 Gbps 的 DNS 反射 DDoS。此攻击由 Imperva 的 L3/4 DDoS 保护自动缓解。

反射攻击方法是非常普遍和强大的。就总攻击时间而言,过去 10 个月中受攻击最多的客户在 DNS DDoS 攻击下花费了 10.7% 的时间,但继续正常运行并为客户提供服务而不会中断。

缓存中毒

与旨在阻塞 DNS 服务器的 DDoS 攻击不同,缓存中毒攻击的目标是将用户从真实站点重定向到恶意网站。

攻击阶段

  1. 攻击者向 DNS 解析器发送 DNS 查询,该解析器将请求转发到根 / TLD / 权威 DNS 服务器并等待答案。
  2. 攻击者使用包含恶意网站 IP 地址的中毒响应“轰炸”DNS 解析器。为了让 DNS 解析器接受攻击者的响应,攻击者需要在权威 DNS 响应之前匹配正确的端口号和“查询 ID”字段。攻击者可以通过暴力响应来增加成功的机会。
  3. 任何查询此 DNS 解析器的合法用户都会从缓存中获得中毒响应,并将被重定向到恶意网站。

减轻

  • 实施和使用 DNSSEC。DNSSEC 通过提供签名的 DNS 响应来防止这种威胁。实现 DNSSEC 的 DNS 解析器验证它从根、顶级域和权威 DNS 服务器获得的签名响应。
  • 实施使攻击者更难成功的最佳实践:
    • 在每个请求中使用随机查询 ID。
    • 在每个请求中使用随机源端口。
    • 丢弃重复的转发请求。
    • 确保响应中的所有相关字段与请求字段完全匹配——查询 ID、名称、类和类型。

布尔云安团队正在开发具有 DNSSEC 支持的“托管 DNS 服务”以应对此类威胁。

结论

为确保网站的基本功能,您应确保 DNS 服务正常运行并保护其免受上述类型的攻击。

布尔云安解决了这些威胁并提供了多种相关的保护服务:

  • “DNS 保护”服务可保护权威 DNS。
  • 用于保护网络基础设施的 L3 DDoS 保护服务。

转载请注明:布尔云安的博客 » 为什么要担心 DNS 攻击?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址