已完本玄幻小说排行榜,神武八荒一颗小说

金華網(wǎng)站建設(shè)需要多少錢（dns攻擊原理及防護(hù)ppt）dns攻擊過程，

由于DNS協(xié)議在設(shè)計(jì)之初存在的缺陷以及DNS服務(wù)器自身存在查詢能力有限的缺點(diǎn)，導(dǎo)致其成為DDoS攻擊的重點(diǎn)目標(biāo)，其中既包括互聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施（根域名服務(wù)器和各頂級(jí)域名服務(wù)器），也包括各大網(wǎng)站的授權(quán)域名服務(wù)器。

DNS作為互聯(lián)網(wǎng)中關(guān)鍵基礎(chǔ)設(shè)施，一旦遭遇DDoS攻擊發(fā)生故障，將會(huì)對(duì)整個(gè)區(qū)域網(wǎng)絡(luò)甚至是國家網(wǎng)絡(luò)造成嚴(yán)重影響本文針對(duì)DNS DDoS攻擊的工作原理進(jìn)行分析，闡述其對(duì)DNS系統(tǒng)造成的破壞，并提出相應(yīng)的應(yīng)對(duì)措施和方案。

從DNS解析的工作原理中可以了解到，當(dāng)客戶主機(jī)針對(duì)目標(biāo)域名發(fā)起解析請求時(shí)，會(huì)委托遞歸解析服務(wù)器依次請求根域名服務(wù)器、頂級(jí)域名服務(wù)器，并最終在域名授權(quán)的權(quán)威服務(wù)器獲得解析記錄這種查詢機(jī)制簡化了客戶主機(jī)查詢解析的過程，但帶來的問題卻是遞歸服務(wù)器的負(fù)擔(dān)大大增加。

以一次標(biāo)準(zhǔn)的DNS解析流程來看，遞歸服務(wù)器所承受的壓力是客戶主機(jī)的5倍如果攻擊者在客戶主機(jī)對(duì)遞歸服務(wù)器發(fā)起DDoS攻擊，則受攻擊的遞歸服務(wù)器將承受5倍的攻擊壓力，可以很好地達(dá)到“以小博大”的攻擊效果，同時(shí)由于DNS的多層次查詢結(jié)構(gòu)，導(dǎo)致各級(jí)域名服務(wù)器都會(huì)遭受DDoS攻擊的影響。

根據(jù)攻擊方式的不同，可以將DNS DDoS攻擊分為DNS查詢攻擊和DNS反射放大攻擊兩種1.DNS查詢攻擊1.1DNS查詢攻擊原理和特點(diǎn)DNS查詢攻擊的目標(biāo)是DNS服務(wù)器，包括遞歸服務(wù)器和域名授權(quán)的權(quán)威服務(wù)器。

攻擊者通過控制大量的傀儡主機(jī)組成僵尸網(wǎng)絡(luò)對(duì)被攻擊的DNS服務(wù)器發(fā)送大量的DNS查詢請求，通常請求解析的域名是隨機(jī)生成的或者是網(wǎng)絡(luò)上根本不存在的域名，DNS服務(wù)器在接收到解析請求后會(huì)首先查看自身是否有對(duì)應(yīng)的緩存，如果查找不到，DNS服務(wù)器就會(huì)進(jìn)行全球解析查詢，這個(gè)解析過程會(huì)給DNS服務(wù)器帶來巨大的負(fù)載，從而影響正常的域名解析請求。

1.2 DNS查詢攻擊應(yīng)對(duì)策略由于這類攻擊屬于傳統(tǒng)的偽造IP地址的DDoS攻擊，因此防御的重點(diǎn)在于如何區(qū)分偽造地址的數(shù)據(jù)包上目前主要有主動(dòng)防御和被動(dòng)防御兩種方案主動(dòng)防御是指在DNS服務(wù)器前面布置一個(gè)DNS代理，通過cookie技術(shù)和遠(yuǎn)端進(jìn)行通信的方法來識(shí)別偽造地址攻擊包的方法，這種方法在檢驗(yàn)偽造地址包上具有較高的正確率，但容易遭受基于cookie驗(yàn)證的DDoS攻擊。

被動(dòng)防御目前比較有效果的是利用路由跳數(shù)進(jìn)行信息驗(yàn)證的方法，這種方式是在受保護(hù)的DNS服務(wù)器前面部署一個(gè)防護(hù)系統(tǒng)，通過判斷真實(shí)地址與DNS服務(wù)器之間的路由跳數(shù)來識(shí)別攻擊者偽造的數(shù)據(jù)包這種防御方法在保證較高識(shí)別準(zhǔn)確率的同時(shí)降低了系統(tǒng)開銷，成為終端防御偽造地址攻擊的較優(yōu)方法。

2 DNS反射放大攻擊2.1DNS反射放大攻擊原理和特點(diǎn)DNS反射放大攻擊的目標(biāo)是網(wǎng)站服務(wù)器或客戶主機(jī)，攻擊者控制網(wǎng)絡(luò)上的眾多傀儡主機(jī)組成僵尸網(wǎng)絡(luò)發(fā)出攻擊指令，僵尸網(wǎng)絡(luò)接收到指令后，會(huì)偽造成受害者的IP地址向網(wǎng)絡(luò)上大量開放遞歸服務(wù)器發(fā)送域名查詢請求。

由于域名服務(wù)器不對(duì)查詢請求包的源IP地址進(jìn)行真實(shí)性驗(yàn)證，因此會(huì)對(duì)所有請求進(jìn)行應(yīng)答，最終導(dǎo)致受害者被大量的DNS應(yīng)答包堵塞，而應(yīng)答包往往比請求包大數(shù)十甚至數(shù)百倍，從而形成DDoS攻擊耗盡被攻擊目標(biāo)資源除了攻擊目標(biāo)不同外，DNS反射放大攻擊還具有以下特點(diǎn)：

（1）DNS放大攻擊的必要條件是開放的遞歸服務(wù)器和源IP地址偽造技術(shù)開放的遞歸服務(wù)器充當(dāng)放大攻擊的反射體，為DNS放大攻擊提供了很好的條件，此外DNS在傳輸層大部分采用的是UDP協(xié)議，這種無連接不可靠的協(xié)議使得源IP地址偽造變得十分簡單。

（2）DNS放大攻擊具有明顯的流量放大效果，由于DNS協(xié)議本身的特點(diǎn)，較小的DNS查詢包會(huì)產(chǎn)生較大的DNS應(yīng)答包在早期關(guān)于DNS的RFC規(guī)范文檔中，UDP報(bào)文大小被限制在512字節(jié)以內(nèi)，但隨著互聯(lián)網(wǎng)的發(fā)展，為了支持IPv6、DNSSEC等，DNS服務(wù)器對(duì)特定DNS查詢返回的應(yīng)答報(bào)文長度超過了512字節(jié)，利用這種擴(kuò)展機(jī)制，一個(gè)60字節(jié)的DNS查詢報(bào)文即可得到超過4000字節(jié)的應(yīng)答報(bào)文。

（3）DNS放大攻擊以互聯(lián)網(wǎng)上大量開放的遞歸服務(wù)器作為反射體，使得追蹤攻擊者的難度加大，攻擊隱蔽性提升。

2.2DNS反射放大攻擊應(yīng)對(duì)策略在源端和中端防御方面，一個(gè)比較有效的應(yīng)對(duì)DNS反射放大攻擊的方法是在邊界路由出口配置源路由檢測，防止偽造地址包流向外部網(wǎng)絡(luò)，并在受害服務(wù)器端路由進(jìn)行過濾，將超大的DNS應(yīng)答包予以丟棄，然而這種方法需要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行廣泛部署，難以在實(shí)際中應(yīng)用。

所以目前防御DNS反射攻擊的主流方向是在終端進(jìn)行防御，在DNS服務(wù)器前面架設(shè)相應(yīng)的防護(hù)系統(tǒng)對(duì)DDoS攻擊流量進(jìn)行過濾一種方法是根據(jù)DNS請求包與應(yīng)答包一一對(duì)應(yīng)的特點(diǎn)，對(duì)DNS反彈式攻擊進(jìn)行檢測并結(jié)合防火墻對(duì)攻擊IP進(jìn)行阻塞。

這種方式有一定效果，但被利用的反射體DNS服務(wù)器，可能是根服務(wù)器、頂級(jí)域名服務(wù)器以及更多的權(quán)威域名服務(wù)器將被列入黑名單，受保護(hù)的服務(wù)器將無法獲得正?；貞?yīng)的應(yīng)答包此外，減少開放DNS服務(wù)器的數(shù)量也是應(yīng)對(duì)反射放大攻擊的有效方式。

DNS反射放大攻擊的一個(gè)重要組成部分就是對(duì)開放DNS服務(wù)器的訪問權(quán)限理想狀態(tài)下，DNS服務(wù)器只向源自信任域名的設(shè)備提供服務(wù)而在基于反射的攻擊中，開放的DNS服務(wù)器將響應(yīng)來自互聯(lián)網(wǎng)任何位置的查詢，因此可能被攻擊者利用。

限制DNS服務(wù)器，使其僅響應(yīng)來自受信任來源的查詢，即可使服務(wù)器無法被用于任何類型的放大攻擊

金華網(wǎng)站建設(shè)需要多少錢（dns攻擊原理及防護(hù)ppt）dns攻擊過程，

最新文章

分類目錄