偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

一種針對(duì)DNS緩存服務(wù)器的杠桿式攻擊

作者:XinLi
安全 黑客攻防
筆者發(fā)現(xiàn)一臺(tái)國(guó)內(nèi)的機(jī)器流量異常,檢查發(fā)現(xiàn)這臺(tái)機(jī)器上運(yùn)行的DNS緩存服務(wù)被人用作了攻擊的放大杠桿,這里簡(jiǎn)單記一下。

 

筆者發(fā)現(xiàn)一臺(tái)國(guó)內(nèi)的機(jī)器流量異常,檢查發(fā)現(xiàn)這臺(tái)機(jī)器上運(yùn)行的DNS緩存服務(wù)被人用作了攻擊的放大杠桿,這里簡(jiǎn)單記一下。

發(fā)現(xiàn)流量異常,首先當(dāng)然是檢查服務(wù)器上的TCP會(huì)話(huà),發(fā)現(xiàn)了一些不太正常的東西,關(guān)閉之后流量減少,但仍然沒(méi)有回到正常水平。

于是聽(tīng)包。這一聽(tīng)發(fā)現(xiàn)一大片:

07:39:53.271744 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271772 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271784 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271792 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.274225 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274252 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274262 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274270 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.291822 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291850 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291860 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291869 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291877 IP 92.XX.XX.148.56278 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

顯然,這樣來(lái)自同一個(gè) IP 地址,在短時(shí)間內(nèi)反復(fù)查詢(xún)同一個(gè)域名的現(xiàn)象是不正常的。為什么會(huì)是 isc.org?暫時(shí)不清楚,但是這樣的行為,顯然是利用這臺(tái)機(jī)器作為放大攻擊的杠桿。攻擊者發(fā)出偽造成最終受害者為源 IP 地址的DNS查詢(xún)包(這類(lèi)包的尺寸較回應(yīng)來(lái)說(shuō)要小的多)到受害的DNS緩存服務(wù)器,而這些緩存服務(wù)器由于在本地已經(jīng)有了查詢(xún)到的域名信息副本(這些域名是存在的),會(huì)立即向最終的受害者發(fā)出回應(yīng)。這樣,攻擊者就能夠用較小的帶寬代價(jià)占滿(mǎn)最終受害者的下行帶寬,實(shí)現(xiàn) DDoS 攻擊了。

由于是DDoS,在防御一方的角度看,阻止這類(lèi)攻擊并不容易。不過(guò),在傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)中,DNS緩存服務(wù)器是放在DMZ 里的,因此可以通過(guò)在路由上直接過(guò)濾掉全部來(lái)自外部的 DNS 回應(yīng)包來(lái)緩解這類(lèi)攻擊造成的影響。在運(yùn)行DNS緩存服務(wù)器的管理員方面,則應(yīng)限制對(duì)自己運(yùn)行的DNS緩存服務(wù)器的訪問(wèn),例如只在內(nèi)網(wǎng)接口上監(jiān)聽(tīng)DNS查詢(xún)請(qǐng)求,而外網(wǎng)接口只用來(lái)發(fā)出DNS請(qǐng)求和接收這些請(qǐng)求的回應(yīng),避免被壞人利用成為DDoS的杠桿。

責(zé)任編輯:藍(lán)雨淚 來(lái)源: 紅黑聯(lián)盟
DNSDNS查詢(xún)DDoS攻擊
相關(guān)推薦

2013-05-14 15:08:02

2015-04-17 15:23:15

2009-05-13 09:14:43

2022-06-13 14:05:39

攻擊PACMANM1 處理器

2012-03-22 10:25:52

2010-06-02 15:17:48

DNS服務(wù)器IPv6協(xié)議

2016-09-23 15:43:33

2018-04-11 10:38:52

2022-05-19 14:36:54

SQL Server服務(wù)器暴力攻擊

2018-06-07 10:29:34

SDN服務(wù)器負(fù)載均衡

2010-08-24 13:01:37

2020-04-07 11:22:47

DNS緩存中毒網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2023-05-10 10:35:14

服務(wù)器代碼

2017-01-17 16:09:25

2010-01-12 12:03:21

2016-12-26 16:46:12

2010-11-09 17:19:41

2014-03-17 10:30:12

網(wǎng)絡(luò)服務(wù)器

2009-12-16 10:20:17

服務(wù)器DNS緩存

2022-01-10 17:32:40

勒索軟件攻擊數(shù)據(jù)泄露
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)