Taste
管理员

【案例】利用回溯分析技术分析DNS放大攻击 



LH网络私服/扫爆抓鸡服务器租用

美国洛杉矶机房,优化线路!低至:58元一个月!

江苏南通机房2h1g!可以扫爆!低至:115元一个月!

绍兴电信Q9/500G/4G/20M独享/单防30G!550元/月

只做高端机器!更有棋牌服务器、高防服务器等业务!

满就送礼品!诚招代理!

详情请联系:


联系QQ :772213820/631444535

————————————————————————————————————

1案例概述DNS放大攻击是一种拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。知识点DNS放大攻击的特性
充分利用了DNS服务器的特性,作为黑客的“攻击放大器”;
攻击流量大;
可依靠僵尸网络发布攻击,形成极大的攻击流量,本身具有隐藏性。
2分析过程
XX.XX.29.4为上海某单位的DNS服务器,需要对外提供DNS服务。该客户部署科来网络回溯分析系统后,在可疑域名警报中触发了大量警报。

图 1
发现198.24.157.245(经查为美国IP)在短时间内向XX.XX.29.4服务器发送了大量的DNS请求,请求的域名为dnsamplicationattacks.cc。(DNS Amplification Attacks字面意思就是DNS放大攻击。)

图 2
198.24.157.245发出的请求包为101字节,DNS服务器返回的应答包为445字节,从而使通信流量放大了4.4倍。

图 3
攻击者利用大量被控主机向大量的DNS服务器发送DNS请求,但请求中的源IP地址被伪造成被攻击者的IP(在本例中为198.24.157.245),于是DNS服务器会向被攻击者返回查询结果,通常查询应答包会比查询请求包大数倍甚至数十倍(在本例中为4.4倍),从而形成对198.24.157.245地址的流量放大攻击。
在本例中客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中,攻击过程见下图。

图 4
3分析结论攻击者利用大量被控主机在短时间内向大量的DNS服务器(XX.XX.29.4)发送DNS请求,查询应答包会比查询请求包大4.4倍,造成大量流量发送到伪造的源IP地址(198.24.157.245),形成对该IP地址的拒绝服务攻击。
建议用户
增大链路带宽; 
DNS服务器关闭递归查询; 
牢记运行商的应急电话号码,一旦发生大规模DNS放大攻击攻击,可以马上与ISP联系,在上游对攻击进行过滤。
黑客常常利用DNS服务器的特性将其做为攻击放大器,可依靠僵尸网络发布攻击,往往形成极大的攻击流量,而其本身又具有隐藏性。然而,在本案例中我们看到通过网络分析技术把攻击行为完全梳理出来,达到网络攻击可视化的效果;并且通过协议解码可以清晰的分析出攻击者使用哪种类型的攻击手段进行的攻击。通过2到7层的深度分析、精确解码、宏观大维度的详细统计为客户的信息系统以及网络环境保驾护航。


Zi-Expo
案例 利用回溯分析技术分析 DNS 放大攻击
#1楼
发帖时间:2016-8-25   |   查看数:0   |   回复数:0
游客组
快速回复