资源在线www天堂官网,色吊网久久,最新精品露脸国产在线

一種針對(duì)DNS緩存服務(wù)器的杠桿式攻擊

IT專家網(wǎng) 發(fā)表于：13年04月30日 22:23 [轉(zhuǎn)載] DOIT.com.cn

DNS攻擊

分享：

[導(dǎo)讀]筆者發(fā)現(xiàn)一臺(tái)國(guó)內(nèi)的機(jī)器流量異常，檢查發(fā)現(xiàn)這臺(tái)機(jī)器上運(yùn)行的DNS緩存服務(wù)被人用作了攻擊的放大杠桿，這里簡(jiǎn)單記一下。發(fā)現(xiàn)流量異常，首先當(dāng)然是檢查服務(wù)器上的TCP會(huì)話，發(fā)現(xiàn)了一些不太正常的東西，關(guān)閉之后流量減少，但仍然沒有回到正常水平。

筆者發(fā)現(xiàn)一臺(tái)國(guó)內(nèi)的機(jī)器流量異常，檢查發(fā)現(xiàn)這臺(tái)機(jī)器上運(yùn)行的DNS緩存服務(wù)被人用作了攻擊的放大杠桿，這里簡(jiǎn)單記一下。

發(fā)現(xiàn)流量異常，首先當(dāng)然是檢查服務(wù)器上的TCP會(huì)話，發(fā)現(xiàn)了一些不太正常的東西，關(guān)閉之后流量減少，但仍然沒有回到正常水平。

于是聽包。這一聽發(fā)現(xiàn)一大片：

07:39:53.271744 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271772 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271784 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271792 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.274225 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274252 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274262 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274270 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.291822 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291850 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291860 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291869 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291877 IP 92.XX.XX.148.56278 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

顯然，這樣來自同一個(gè) IP 地址，在短時(shí)間內(nèi)反復(fù)查詢同一個(gè)域名的現(xiàn)象是不正常的。為什么會(huì)是 isc.org?暫時(shí)不清楚，但是這樣的行為，顯然是利用這臺(tái)機(jī)器作為放大攻擊的杠桿。攻擊者發(fā)出偽造成最終受害者為源 IP 地址的DNS查詢包(這類包的尺寸較回應(yīng)來說要小的多)到受害的DNS緩存服務(wù)器，而這些緩存服務(wù)器由于在本地已經(jīng)有了查詢到的域名信息副本(這些域名是存在的)，會(huì)立即向最終的受害者發(fā)出回應(yīng)。這樣，攻擊者就能夠用較小的帶寬代價(jià)占滿最終受害者的下行帶寬，實(shí)現(xiàn) DDoS 攻擊了。

由于是DDoS，在防御一方的角度看，阻止這類攻擊并不容易。不過，在傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)中，DNS緩存服務(wù)器是放在DMZ 里的，因此可以通過在路由上直接過濾掉全部來自外部的 DNS 回應(yīng)包來緩解這類攻擊造成的影響。在運(yùn)行DNS緩存服務(wù)器的管理員方面，則應(yīng)限制對(duì)自己運(yùn)行的DNS緩存服務(wù)器的訪問，例如只在內(nèi)網(wǎng)接口上監(jiān)聽DNS查詢請(qǐng)求，而外網(wǎng)接口只用來發(fā)出DNS請(qǐng)求和接收這些請(qǐng)求的回應(yīng)，避免被壞人利用成為DDoS的杠桿。

[責(zé)任編輯：唐蓉]

專訪亞洲HPC大賽冠軍隊(duì)清華大學(xué)

專訪亞洲HPC大賽冠軍隊(duì)清華大學(xué)。我們這次帶領(lǐng)國(guó)內(nèi)很多知名專業(yè)的媒體過來，是因?yàn)椴痪们扒迦A在ASC上，取得了非常好的成績(jī)，這也是國(guó)內(nèi)高性能計(jì)算水平發(fā)展非常好的例證.

官方微信

相關(guān)閱讀

精彩專題更多

2014企業(yè)級(jí)IT風(fēng)云榜

存儲(chǔ)風(fēng)云榜”是由DOIT傳媒主辦的年度大型活動(dòng)�；仡�2014年，存儲(chǔ)作為IT系統(tǒng)架構(gòu)中最基礎(chǔ)的元素，已經(jīng)成為了推動(dòng)信息產(chǎn)業(yè)發(fā)展的核心動(dòng)力，存儲(chǔ)產(chǎn)業(yè)的發(fā)展邁向成熟，數(shù)據(jù)經(jīng)濟(jì)的概念順勢(shì)而為的提出。

華為OceanStor V3開啟全融合數(shù)據(jù)架構(gòu)時(shí)代

華為OceanStor V3系列存儲(chǔ)系統(tǒng)是面向企業(yè)級(jí)應(yīng)用的新一代統(tǒng)一存儲(chǔ)產(chǎn)品。在功能、性能、效率、可靠性和易用性上都達(dá)到業(yè)界領(lǐng)先水平，很好的滿足了大型數(shù)據(jù)庫OLTP/OLAP、文件共享、云計(jì)算等各種應(yīng)用下的數(shù)據(jù)存儲(chǔ)需求。

聯(lián)想亮相高交會(huì)

聯(lián)想攜ThinkServer+System+七大行業(yè)解決方案驚艷第十六屆高交會(huì)

噜噜噜综合,又色又爽又高潮免费观看,综合无码一区二区三区四区五区,中文字幕无码人妻aaa片,四虎成人精品永久网站