DNS安全章-拒绝服务攻击

一、什么是拒绝服务攻击

即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。

二、DNS拒绝服务攻击常见手段

1、利用DNS软件版本漏洞攻击

如在BIND 9版本(版本9.2.0以前的 9系列)如果有人向运行BIND的设备发送特定的DNS数据包请求,BIND就会自动关闭。攻击者只能使BIND关闭,而无法在服务器上执行任意命令。

2、DDOS 攻击,

攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定的时间点上,连续向多个允许递归查询的 DNS 服务器发送大量

的 DNS 查询请求,迫使其提供应答服务,经 DNS 服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。

 

三、DNS放大攻击

概述:

DNS反射放大攻击是一种通过向开放的DNS服务发送伪造源发地址的查询请求来将应答流量导向攻击目标的一种拒绝服务攻击手段(原理参见图1)。这种攻击利用DNS服务器来对被攻击者造成拒绝服务攻击。

图1

解决办法:

为避免您的DNS服务器被用来进行DNS反射攻击,建议您做首先确认自己的DNS服务的类型及用途:

a)          自己架设的权威查询服务器(主要用于解析*.imoocc.com这类学校二级域名的)

b)          自己架设的递归查询服务器(主要给自己底下的用户提供递归DNS查询服务的,功能类似166.111.8.28)

c)          设备或是服务自带的DNS,不是自己假设的(如路由器自带的等)

根据服务不同的功能,请参考如下操作:

a)          用于提供权威解析的DNS服务,请关闭该服务器上的递归查询功能(操作方式参见附录)

b)          用于递归查询服务的DNS服务器,请限制递归查询服务的使用范围。(操作方式参见附录)

c)          对于设备或系统自带的DNS服务,请先确认该DNS服务是否是必须,如果不是必须请关闭该功能。如果是必须提供的服务,请将该服务的服务范围进行限制(如内网或是特定的网段)。

 

 

附录:

 

LinuxBIND

1、关闭DNS递归查询服务

通过修改BIND的配置文件可以实现关闭DNS递归查询的功能,默认配置文件路径为/etc/named.conf,有两种可能的方法:

(1)在配置文件的options配置中,将recursion选项设为no(默认为yes)

(2)在配置文件的options配置中,将recursion选项设为yes,在view配置中,将allow-recursion设为{none;}

第一种设置方法是将递归查询改为迭代查询,第二种方法可以完全避免应答,但是仅在BIND9以上版本中拥有该选项。

无论采取何种方法,修改配置后应当重新加载并清除缓存(reload & flush)

2、限制对域外用户提供DNS解析服务

通过修改BIND的配置文件可以限制提供DNS解析服务的范围,默认配置文件路径为/etc/named.conf,在options选项中修改allow-query语句:

allow-query {166.111.0.0/16;59.66.0.0/16;}

则可以限制仅有166.111以及59.66网段可以访问,设置其他网段类似。

3、利用防火墙等对ANY Request进行过滤

如果是在linux系统中安装的DNS服务软件,则可以通过iptables对ANY Request请求进行过滤:

iptables -A INPUT -p udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --to 255 --algo bm -m comment --comment "IN ANY?" -j DROP

 

iptables -A FORWARD -p udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --to 255 --algo bm -m comment --comment "IN ANY?" -j DROP

此方法需要对数据包进行深度过滤,对服务性能影响较大,如果能够在DNS配置中实现DNS ANY Request防护,不建议使用第三种方法。

时间: 2024-10-12 06:04:10

DNS安全章-拒绝服务攻击的相关文章

BIND 9 DNS域名服务器遭受拒绝服务攻击

BIND是流行的DNS 服务器软件,最 新的版本是BIND 9.管理和维护BIND的互联网系统协会(ISC)发出警告,称BIND 9 DNS域名服务器正遭受协调的拒绝服务攻击,它可能存在一个未知的0day漏洞.警告称,DNS域名服务器执行查询时出现崩溃,返回了一个错误信息"INSIST(! dns_rdataset_isassociated(sigrdataset))".多个版本的BIND受到了影响,包括BIND 9的所有版本.ISC 认为是一个目前还没有识别的网络事件导致BIND 9

从断网事件分析DNS服务器拒绝服务攻击_DNS服务器

事件原因和分析 此次事件是一次联动事件,主要分为两个部分: 1.DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意,导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击,导致DNS服务器过载以及线路堵塞. 2.暴风影音的大量频繁的向电信DNS主服务器发起解析.导致各地区电信主DNS服务器超负荷. 暴风影音作为广泛使用的软件,有成千上万的用户安装使用.然而其DNS解析机制存在缺陷.暴风公司仅仅在DNSPod站内部署了

抗拒绝服务攻击(DDoS):是疏还是堵?

抗DDoS(分布式拒绝服务攻击)攻击系统是针对业务系统的稳定.持续运行以及网络带宽的高可用率提供防护能力进行维护.然而,自1999年Yahoo.eBay等电子商务网站遭到拒绝服务攻击之后,DDoS就成为Internet上一种新兴的安全威胁,其危害巨大且防护极为困难. 尤其是随着黑客技术的不断发展,DDoS攻击更是出现了一些新的动向和趋势: 高负载-DDoS攻击通过和蠕虫.Botnet相结合,具有了一定的自动传播.集中受控.分布式攻击的特征,由于感染主机数量众多,所以DDoS攻击可以制造出高达1G

我国域名系统面临安全漏洞和拒绝服务攻击等多种威胁

摘要: 日前,国家互联网应急中心发布的<2013年中国互联网网络安全报告>显示,作为互联网运行的关键基础设施,我国域名系统面临安全漏洞和拒绝服务攻击等多种威胁,是影响网络稳定运 日前,国家互联网应急中心发布的<2013年中国互联网网络安全报告>显示,作为互联网运行的关键基础设施,我国域名系统面临安全漏洞和拒绝服务攻击等多种威胁,是影响网络稳定运行的薄弱环节.中心监测报告显示,2013年针对我国域名系统较大规模的拒绝服务攻击事件平均每日约有58起. 对此,互联网域名系统专家表示,作为

[安全]DDOS攻击[分布式拒绝服务攻击]

分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力.通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上.代理程序收到指令时就发动攻击.利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行. 工作原理 拒绝服务攻击即攻击者想办

阻断拒绝服务攻击

从去年七.八月开始,拒绝服务攻击在网上风行一时,一年后的现在又有抬头之势.那么我们除了用防堵软件外,是否还有其它办法呢? 服务过载 当大量服务请求发向同一台计算机的服务守护进程时,就会产生服务过载.这些请求通过各种方式发出,而且许多都是故意的.在分时机制中,计算机需要处理这些潮水般涌来的请求,十分忙碌,以至无法处理常规任务,就会丢弃许多新请求.如果攻击的对象是一个基于TCP协议的服务,这些请求还会被重发,进一步加重网络的负担. 通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地

DDoS拒绝服务攻击和安全防范技术

一. DDoS拒绝服务攻击简介 "拒绝服务(Denial-Of-Service)攻击就是消耗目标主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务."国际权威机构"Security FAQ"给出的定义. DDOS则是利用多台计算机机,采用了分布式对单个或者多个目标同时发起DoS攻击.其特点是:目标是"瘫痪敌人",而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击,难于追踪. 目前DDoS攻击方式已经发展成为一个非常严峻的公共安

PHP5.2.*防止Hash冲突拒绝服务攻击的Patch

由我前面的俩篇文章介绍(通过构造Hash冲突实现各种语言的拒绝服务攻击, PHP数组的Hash冲突实例 ), 这个攻击方法危害很高, 攻击成本也很小. 一个台式机可以轻松搞垮数十台, 上百台服务器. 而和Pierre沟通后, 官方开发组不会为此发布PHP 5.2.18, 但是目前还是由不少公司还在使用5.2, 所以我特将dmitry为5.4写的patch, 分别apply到5.2上. 大家如果有用5.2的, 如果被此类攻击威胁, 可以打上下面的patch, PHP5.3的, 可以考虑升级到5.3

安全简报: 正则表达式拒绝服务攻击和防御

在 2009 年 11 月刊中,我写了一篇标题为"XML 拒绝服务攻击和防御" (msdn.microsoft.com/magazine/ee335713) 的文章,在这篇文章中,我介绍了一些对 XML 分 析程序特别有效的拒绝服务 (DoS) 攻击技巧.我从读者那里收到许多有关此文章的电子邮件, 他们都想了解有关这方面的更多知识,这让我真正意识到人们已经了解 DoS 攻击的严重性. 我相信,在未来的四到五年中,随着权限升级,执行攻击会变得更加困难,这是由于不断采 用诸如数据执行保护