基于DNS的攻击正在上升,传统防火墙的问题在于它们将端口53保留为DNS查询开放。因此,它们并非总是能有效地防御基于DNS的DDoS攻击,例如放大,反射等。它们需要极高的计算性能才能准确检测基于DNS的攻击,因此从成本和数量上进行深度检查是不切实际的方法。所需的分发点。因此,传统保护是无效的。
DNS无法关闭,并且如果DNS服务关闭,则网络连接的设备将停止工作。公司失去与互联网的连接,因此无法在线开展业务。这导致收入损失,客户叛逃和负面品牌影响。以下是需要注意的顶级DNS攻击:
dns攻击1
分布式反射式DoS攻击
•结合反射和放大
•在互联网上使用第三方开放式解析器(不帮凶使用同谋)
•攻击者将欺骗性查询发送到打开的递归服务器
•特制的查询会导致很大的响应
影响:
•在受害者的服务器上造成DDoS
dns攻击2
缓存中毒
DNS缓存数据损坏
1.攻击者在递归名称服务器中查询恶意站点的IP地址
2.递归服务器没有IP地址,并查询恶意DNS解析器
3.恶意解析程序提供请求的恶意IP地址,并将恶意IP地址映射到其他合法站点(例如www.mybank.com)
4.递归名称服务器将恶意IP地址缓存为www.mybank.com的地址
5.用户向递归服务器查询www.mybank.com的IP地址
6.递归服务器使用缓存的恶意IP地址回复用户
7.客户端连接到攻击者控制的站点,认为它是www.mybank.com
影响:
可以捕获用户的登录名,密码,信用卡号
dns攻击3
TCP SYN泛洪
•使用开始TCP连接的三向握手
•攻击者发送带有伪造目的地的源IP地址的欺骗性SYN数据包
•服务器将SYN-ACK发送到这些虚假目的地
•从不接收来自这些目的地的确认,并且连接从未完成
•这些半开的连接耗尽了服务器上的内存
影响力
•服务器停止响应来自合法用户的新连接请求
dns攻击4
DNS隧道
•使用DNS作为隐式通信通道来绕过防火墙
•攻击者在DNS中通过隧道传输其他协议,例如SSH,TCP或Web
•使攻击者无需检测即可轻松传递被盗数据或隧道IP流量
•DNS隧道可以用作受感染内部主机的完整远程控制通道。
•还用于绕过强制门户,以避免为Wi-Fi服务付费
影响:
•数据可能会通过隧道泄漏
dns攻击5
DNS劫持
•修改DNS记录设置(通常在域注册机构中)以指向恶意DNS服务器或域。
•用户尝试访问合法网站www.mybank.com
•用户被重定向到看起来很像真实事物的由黑客控制的虚假站点。
影响力
•黑客获取用户名,密码和信用卡信息
dns攻击6
基本的NXDOMAIN攻击
•攻击者将大量查询发送到DNS服务器,以解决不存在的域名/域名。
•递归服务器尝试通过执行多个域名查询来找到此不存在的域,但找不到它。
•在此过程中,其缓存中将填充NXDOMAIN结果。
影响:
•合法请求的DNS服务器响应时间缩短
•DNS服务器还在不断尝试重复执行递归查询以获得解析结果,因此也花费了宝贵的资源。
dns攻击7
幻域攻击
•“ Phantom”域被设置为攻击的一部分
•DNS解析器尝试解析多个属于幻影域的域
•这些幻影域可能无法发送响应,否则会变慢
影响力
•服务器在等待响应时会消耗资源,最终导致性能下降或故障
•太多未完成的查询
dns攻击8
随机子域攻击
•被感染的客户端通过将随机生成的子域字符串放在受害者的域之前来创建查询。例如xyz4433.yahoo.com
•每个客户端只能将少量查询发送到DNS递归服务器
•更难发现
•这些受感染的客户中有许多发送此类请求
影响力
•响应可能永远不会从这些不存在的子域中返回
•DNS递归服务器等待响应,未完成的查询限制已用尽
•目标域的身份验证服务器遇到DDoS
dns攻击9
域锁定攻击
•攻击者设置了解析器和域,以与DNS解析器建立基于TCP的连接
•当DNS解析程序请求响应时,这些域将发送“垃圾”或随机数据包以保持它们的参与
•他们还故意使响应速度慢,从而使解析程序无法参与。这有效地锁定了DNS服务器资源。
影响力
•DNS解析器与行为异常的域建立这些连接会耗尽其资源
dns攻击10
来自CPE设备的基于僵尸网络的攻击
•使用僵尸网络将所有流量定向到一个站点或域的随机子域攻击
•攻击涉及受感染的设备,例如CPE交换机,路由器
•由ISP提供
•由客户提供
•这些被恶意软件感染的CPE设备形成僵尸网络,以发送多个DDoS流量到
影响力
•DNS解析器资源用尽
•CPE设备受损时,可能导致其他不利影响:
•SSL代理–窃取登录凭据等
•针对客户PC和环境的攻击的启动点(扩大了威胁范围)
