全国咨询热线:18720358503

小编说明DNS体系与DDOS攻击的关系

类别:企业动态 发布时间:2021-01-05 浏览人次:

自上一年开始,DDOS 攻击现已上升到了一个新的高度,其标志性攻击是针对国际反废物邮件联盟和 cloudflare 的大规模 DDOS 攻击,流量一度达到120G,当然后边的 DDOS 远远超过了120G,不过这一次攻击确实是前史性的。 我们现在回过头去看这些攻击现已清楚他们的攻击来历是 DNS/NTP 等反射攻击导致的,可是为什么 DNS和NTP 等效劳具有如此凶猛的能力呢?攻击者是怎么做到制造出如此巨大的流量的呢?DNS 这个在我们日常网络使用的时分再往常不过的效劳是怎么被使用来变成大规模攻击的呢? 广州网站建设科技现在先提前给出最终答案,然后再进行解释: 1、DNS 使用了简略的 UDP 报文进行客户端和效劳端之间的通讯; 2、DNS 是纯天然的流量扩大器,通过极小的请求返回很大的回应数据包; 3、互联网上充溢了很多的开放 DNS 解析器,它们可以承受任何客户端的请求而不会回绝; 4、网络的滥用导致很多当地可以发出伪造源 IP 地点的数据包。 这四个方面的问题最完结合到了一同,形成了现在的 DNS 体系的格局,也使 DNS 体系成为了 DDOS 攻击的重要问题来历。一次正常的 DNS 请求可能发出的流量只有64bytes,可是它收到的回应可能远远超过这个数,在某些特定场合下,这个流量被扩大的比率可以轻轻松松超过50倍。按照这个 比率核算,假如通过一个僵尸网络来同时发送 DNS 请求的话,那么生成G/s的流量是十分轻松的,假如是使用了 DNSSEC 的话,流量还将更大。 现在的问题在于,实质上这些流量和其他流量一样都是看似正常的流量,所以简略的过滤机制对此将不起作用,我们需要寻求更深层次的解决方案来解决这个长期困扰互联网的问题。 在这个问题的评论上,其间一个讲到假如我们在施行网络的时分都按照 BCP38 来施行的话,可以阻止虚假 IP 地点发送 DNS 请求,从而阻止了使用 DNS 进行反射扩大的攻击。当然这个话题现已久到比 BCP38 本身还要早,BCP38 作为一个文档现已存在了13年之久,但令人不爽的是这仍然未能改变在以前的13年里屡见不鲜的源 IP 伪造攻击,所以在未来数个月甚至若干年内我们也不要对此报太大期望。 另外一个评论是说解析器应该施行应答频率限制(response rate limiting,RRL),默默地将超过阈值的重复请求丢弃掉,这个关于权威 DNS 来说确实适当的有用率,可是关于递归解析器群来说效果就差很多,因为攻击一旦散步到各个递归效劳器,那么分摊下去之后可以检测到的频率就可能达不到检测阈 值。尽管如此,权威 DNS 效劳器施行 RRL 仍然是很好的选择。 另外一个评论是说,关闭掉这些开放递归查询效劳器,open resolver project()这个项目就是准备干这个事情的,让开放查询效劳器的维护者自行查看配 置,把有问题的查询器关闭掉,和 BCP38 的被接收程度差不多,也不要太指望这个途径能有太高文用。部分原因是因为很多的递归效劳器都疏于管理。 DNS 效劳器接收小包请求发生打包回应的这一行为现已成为了 DNS 的固有属性,特别针对 DNSSEC 而言更是如此,我们既想要对 DNS 解析成果有安全保障,又想要速度快,那么必然会选择 UDP 协议,结合上无处不在的递归 DNS 查询效劳器,这就导致了回应包的变大,最终导致了这一平台成为了大流量攻击的神器。 假如我们想要彻底解决掉使用 DNS 进行大规模攻击的难题,留给我们发挥的空间现已很小很小了。然而仍然还存在一个关于 DNS 是否使用 UDP 的观点在延续。 在原版 RFC1123 中允许了 UDP 和 TCP 两种方式作为 DNS 效劳的协议,与此有关的一段是这么描述的: “在不久的将来新的 DNS 记载类型会超过512bytes的限制现已十分显着,据此基于 TCP 的 DNS 是需要的,所以递归解析器和权威效劳器需要支撑 TCP 方式提供效劳作为当下使用 UDP 方式的后备方案,今后必将用到 TCP 方式。” (为什么是512bytes呢?这个限制是来自于ipv4 主机需求界说(RFC1122),所有支撑ipv4的体系都有必要可以接收至少576bytes,20bytes的IP header,8bytes的 UDP header和40bytes的ip options,这就抉择的单个 UDP 包的巨细最大就512bytes) 现如今 IPv4 中生成更大的包现已成为可能,理论最大可以达到65535bytes,UDP包巨细可达65507bytes,可是如此大的包在传输过程中是会被分片的, 在这种状况下,典型的防火墙规则可以对其后的包进行阻断,可能导致其无法抵达客户端,这是因为很多防火墙是基于 UDP 和 TCP 端口地点的。因这些被分片的包本身并不包含 UDP 或 TCP 头部,这使得防火墙陷入了窘境,究竟是允许呢仍是允许呢?这种情境下防火墙可能最终妥协继而使得部分攻击达到目的。或者是丢弃掉所有的分片?考虑到这两方面的 因素,传统 DNS 的做法是限制 UDP 回应包巨细为512bytes,且当包巨细超过512bytes的时分总是启用 TCP 作为备用措施。 然而,客户端或许并不知道 DNS 回应包的巨细会超过512bytes,所认为了告诉客户端使用 TCP 来接收整个 DNS 响应, DNS 解析器会发送给客户一个设置了"truncated"位的回应。 我们一直在这个途径上坚持了很多年, DNS 在大大都状况下使用 UDP 进行通讯,只有在很少状况下才会启用 TCP 通信。这种做法在后来我们考虑为 DNS 解析添加安全证书机制的时分就显得不是那么爽了,跟着 DNSSEC 的加入现已很少有响应包可以做到不超过512bytes了,由 UDP 转换为客户端通过 TCP 重发的机制必然会导致解析的延迟。 就像 RFC5966 中写的那样: 因为 DNS 的核心原型已定, DNS 扩展机制也被提出(EDNS0 RFC2671),这套机制可以用来标明客户端可以接收巨细超过512bytes的包,一个 EDNS0 兼容的客户端向兼容效劳端发送的包可所以由客户端 buffer size 巨细指定的包巨细而无需分片。 EDNS0 允许基于 UDP 的回应包拥有更大的巨细,这时 TCP 现已被当作武功秘籍而为被广为流传了,仅仅被用来做域传送,假如不想启用域传送的话,似乎 TCP 就完全不起任何作用了。 在 RFC1123 中有关主机的必要条件是这么描述的: DNS 解析器和第归效劳器有必要支撑 UDP,可以支撑 TCP 来发送查询请求。 可是基于 TCP 的 DNS 不光是可以支撑较大的 DNS 响应,假如我们从头审视一下大规模 DNS 反射攻击的先决条件,遍及的 UDP 大包响应,以及缺乏施行的 BCP38,使得攻击者可以通过源 IP 伪造的手法对方针进行攻击。 TCP 不会呈现此问题,假如攻击者通过伪造源 IP 来发起 TCP 请求的话,方针 IP 顶多只会收到一个很小的包,(40bytes),只包含了 SYN 和 ACK 标记,方针体系因为没有现已建立了状态的连接,这个包将会被丢弃掉,依据本地配置的不同,方针 IP 可能会发送一个 TCP RESET 包给另一端来标明 state 的不确立,或者仅仅是默默的丢弃掉,这样 DNS 攻击的流量扩大作用就没有用的解决掉。 假如说 DNS 体系现已使得整个互联网面对了如此巨大的问题的话,那么是否我们就应该停止使用EDNS0所支撑的较大的 UDP 回应包,继而使用 TCP 来传输较大的请求? 我们再来看一下 RFC5966: 大都 DNS 效劳运营商现已支撑 TCP 且默认的软件配置也是支撑 TCP 的,此文档的主要受众是那些。。。 这个当地我们需要看到的问题是,我们怎么可以量化 DNS 支撑 TCP 请求和回应的掩盖度?这里只的“大都”究竟是多少? 通过测验发现,大部分的 DNS 体系对 TCP 类型的报文是可以响应的,也就是说,使用 TCP 来回复大包以组织 DNS 使用 UDP 发送大包这一做法是切实可行的,不支撑 TCP 的那部分 DNS 体系要么是因为主备DNS的配置导致其请求第一个效劳器不通进而请求下一个效劳器,要么是一些其他的问题,也就是说,在处理TCP有问题的DNS效劳器里 也只是有部分是真实存在问题的。 假如你是DNS体系管理员的话,我们建议: 1、尽量不要维护一些很小的开放DNS解析效劳,这些事情是网络运营商该干的; 2 、权威DNS一定要对请求频率加以限制,假如是使用 bind 的话可以使用 bind 自带的 RRL 个功用进行频率限制,假如是 PDNS 的话可以通过防火墙规则来限制; 3、对 DNS 体系进行全面的查看,对 DNS 体系进行配置查看,以防止呈现一些初级过错等。只有通过多方面的努力,才干将 DDOS 攻击影响逐步小化。

推荐阅读

小编说明DNS体系与DDOS攻击的关系

自上年刚开始,DDOS 进攻早已升高来到一个新的高宽比,其标示性进攻是对于国际性反废弃物电子邮件同盟和 cloudflare 的规模性 DDOS 进攻,总流量一度做到120G,自然后边的 DDOS 远远地超...

2021-01-05
雅虎CEO绕开马云布局两只老虎【凡科】广州网络

重要词:yahooCEO避开马云爸爸合理布局二只老虎狮子 现有 4498 人访问 “依照彼此先前的协议书,英国yahoo的我国产品研发管理中心仅担负产品研发管理中心的作用,不容许先在国进行互连...

2021-01-05
做自己的微信小程序_解决vue中使用less/sass及使用

处理vue中应用less/sass及应用中碰到失效的难题 本文关键详细介绍掌握决vue中应用less/sass及应用中碰到失效的难题,具备非常好的参照使用价值,期待对大伙儿有一定的协助。一起...

2021-01-05
织梦小程序助手_解决js中的setInterval清空定时器不

处理js中的setInterval清除定时执行器无论用难题 本文关键详细介绍掌握决js中的setInterval清除定时执行器无论用难题,具备非常好的参照使用价值,期待对大伙儿有一定的协助。一起...

2021-01-05
广州凡科互联网科技股份有限公司招聘京东店长

招聘人数:5职位信息岗位职责:1、负责京东店铺的日常运营推广及目标制定;2、负责宝贝类目、搜索排名的提升;3、负责官方活动的报名,提升店铺流量、销量;4、负责京东快车、京...

2021-01-05
广州凡科互联网科技股份有限公司招聘带货主播

招聘人数:6职位信息岗位职责:1、负责公司天猫,京东,有赞商城平台等直播工作,通过直播向客户种草产品、展示商品、与粉丝互动(包括回答客户问题,产品展要职责示、优惠券发...

2021-01-05
X

400-8700-61718720358503
企业邮箱2639601583@qq.com
官方微信