人妻无码中文久久久久专区,色窝窝精品一区二区,日韩在线6,欧美91精品国产自产

很多網(wǎng)絡(luò)服務(wù)異常，往往都是攻擊造成的，但原因有很多種，如何分析定位，則是解決問題的關(guān)鍵。DNS放大攻擊是一種拒絕服務(wù)攻擊。攻擊者利用僵尸網(wǎng)絡(luò)中大量的被控主機(jī)，偽裝成被攻擊主機(jī)，在特定時間點(diǎn)，連續(xù)向多個允許遞歸查詢的DNS服務(wù)器，發(fā)送大量DNS服務(wù)請求，迫使其提供應(yīng)答服務(wù)。經(jīng)DNS服務(wù)器放大后的大量應(yīng)答數(shù)據(jù)，再發(fā)送到被攻擊主機(jī)，形成攻擊流量，導(dǎo)致其無法提供正常服務(wù)甚至癱瘓。

　　0x11問題描述

　　XX.XX.29.4為某大型行業(yè)用戶的DNS服務(wù)器，需要對外提供DNS服務(wù)。近期，該用戶網(wǎng)絡(luò)擁塞，運(yùn)維部門在部署科來網(wǎng)絡(luò)回溯分析系統(tǒng)后發(fā)現(xiàn)，在可疑域名警報功能中觸發(fā)有大量警報。

　　0x12分析過程

　　198.24.157.245(經(jīng)查為美國IP)在短時間內(nèi)向XX.XX.29.4服務(wù)器發(fā)送了大量的DNS請求，請求的域名為dnsamplicationattacks.cc。(DNS Amplification Attacks字面意思就是DNS放大攻擊。)

　　198.24.157.245發(fā)出的請求包為101字節(jié)，DNS服務(wù)器返回的應(yīng)答包為445字節(jié)，從而使通信流量放大了4.4倍。

　　攻擊者利用大量被控主機(jī)，向大量的DNS服務(wù)器發(fā)送DNS請求。但請求中的源IP地址，均被偽造成被攻擊者的IP(在本例中為198.24.157.245)，于是DNS服務(wù)器會向被攻擊者返回查詢結(jié)果。通常查詢應(yīng)答包會比查詢請求包大數(shù)倍甚至數(shù)十倍(在本例中為4.4倍)，從而形成對198.24.157.245地址的流量放大攻擊。

　　在本例中，客戶的DNS服務(wù)器被作為實(shí)施這種DNS放大攻擊的代理參與其中，攻擊過程見下圖。

　　0x13 分析結(jié)論

　　攻擊者利用大量被控主機(jī)，在短時間內(nèi)向DNS服務(wù)器(XX.XX.29.4)發(fā)送大量的DNS請求，查詢應(yīng)答包會比查詢請求包大4.4倍，造成大流量發(fā)送到偽造的源IP地址(198.24.157.245)，形成對該IP地址的拒絕服務(wù)攻擊。

　　建議用戶：

　　增大鏈路帶寬;

　　DNS服務(wù)器關(guān)閉遞歸查詢;

　　一旦發(fā)生大規(guī)模DNS放大攻擊，可以馬上與ISP聯(lián)系，在上游對攻擊進(jìn)行過濾。

　　0x14 價值

　　黑客常常利用DNS服務(wù)器的特性，將其做為攻擊放大器，可依靠僵尸網(wǎng)絡(luò)發(fā)布攻擊，往往可以制造極大的攻擊流量，而其本身又具有隱蔽性。然而，在本案例中我們看到，通過網(wǎng)絡(luò)分析技術(shù)可以把攻擊行為完全梳理出來，達(dá)到網(wǎng)絡(luò)攻擊可視化的效果;并且通過協(xié)議解碼，可以清晰的分析出攻擊者使用的攻擊手段。利用網(wǎng)絡(luò)分析技術(shù)，通過2到7層的深度協(xié)議分析、精確解碼、詳細(xì)統(tǒng)計(jì)數(shù)據(jù)，為客戶的信息系統(tǒng)以及網(wǎng)絡(luò)安全保駕護(hù)航。

來源：機(jī)房360

石家莊服務(wù)器托管  石家莊服務(wù)器租用  石家莊機(jī)柜租用  石家莊機(jī)房