预览加载中,请您耐心等待几秒...

遭遇DNS放大攻击解决方案.pdf

预览
1/9
2/9
3/9
4/9
5/9
6/9
7/9
8/9
9/9

在线预览结束,喜欢就下载吧,查找使用更方便

下载提示 文本预览

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

某客户遭遇DNS放大攻击科来软件网站:http://www.colasoft.com.cn1DNS放大攻击的基本情况DNS的基本原理DNS是域名系统(domainnamesystem)的缩写,DNS服务器是域名管理系统,他的作用是把域名转换成网络中计算机可识别的IP。2DNS放大攻击的基本情况DNS放大攻击的基本原理DNS放大攻击时一种新型的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。3DNS放大攻击的基本情况DNS放大攻击的特性①充分利用了DNS服务器的特性,作为黑客的“攻击放大器”。②攻击流量大。2005年之前,攻击者能向DNS服务器发出60个字节查询请求,返回512个字节的响应。现在通过攻击可产生100G/S回应,这是非常致命的。③可依靠僵尸网络发布攻击,形成极大的攻击流量,本身具有隐藏性。4案例分析客户部署科来网络回溯分析系统后出现大量的可疑域名警报,图中*.*.29.4为客户的DNS服务器,需要对外网提供DNS服务。5案例分析198.24.157.245(经查为美国IP)短时间内发出了大量的DNS请求,请求的域名为dnsamplicationattacks.cc。(DNSAmplificationAttacks字面意思就是DNS放大攻击。。。)6案例分析198.24.157.245发出的请求包为101字节,DNS服务器返回的应答包为445字节,从而使通信放大了4.4倍。7案例分析攻击者利用大量被控主机向大量的DNS服务器发送DNS请求,但请求中的源IP地址被伪造成被攻击者的IP(在本案例中为198.24.157.245),于是DNS服务器会向被攻击者返回查询结果,通常查询应答包会比查询请求包大数倍甚至数十倍(在本案例中为4.4倍),攻击者由此将攻击效果扩大了若干倍。在本案例中客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中。被控主机被攻击者攻击者DNS服务器198.24.157.245*.*.29.48谢谢科来软件电话:86-28-85120922传真:86-28-85120911网站:www.colasoft.com.cn9