认识达内从这里开始

DNS服务是网站开发程序员在开发网站的时候都会用到的一个功能，而对于网络攻击来说，DNS也是一个经常受到攻击的目标，而今天我们就通过案例分析来了解一下，DNS的常见攻击形式与解决方法。

1. Straightforward/Naive DDoS

黑客使用僵尸网络创建不同端点，在同一时间段向受害者域名服务器直接发送海量 DNS 请求。

这种攻击会在短时间内产生大量流量，利用无数请求堵塞 DNS 服务器，让其无法响应，从而达到拒绝正常用户访问的目的。

缓解措施

通过使用基于硬件的网络设备或云服务解决方案可以过滤或限制网络流量。在一场 naive DDoS 攻击中，攻击者不会欺骗源 IP，用于攻击的源数量也有限制。因此，限制策略可以是拦截攻击者使用的 IP。

2. IP 欺骗

DNS 默认依赖 UDP 协议，而由于 UDP 本身的特性导致，只需伪造数据包的 IP 地址，便可以轻易将源 IP 换成随机 IP。在这种情况下，拦截 IP 地址变成了无用功，我们需要求助于别的方案。

缓解措施

使用 DNS 缓存服务器吸收大部分的 DNS 流量。

DDoS 攻击者通常会使用不存在的域名以确保解析器会转发请求，已存在域名有可能会被保存在缓存中，这样的请求是不会被转发的。针对这种情况，我们建议在 DNS 缓存服务器中使用以下措施来限制来自不存在域名的 DNS 请求转发率。

3. 反射型 DDoS

攻击者不仅会欺骗源 IP，连目的地 IP 也不会放过。来自正常 DNS 解析器的 DNS 回答会被发回给受害者(被欺骗的 IP)，而不是原攻击者的 IP，从而导致受害者受到 DDoS 攻击。

DNS的5种攻击形式和应对举措

这类攻击模式会放大 DDoS 的影响：黑客精心设计了能触发大量 DNS 回答的 DNS 请求，从而达到扩大伤害的效果。举例来说，“ANY”类请求或具有多个 DNS 记录的请求将触发大量 DNS 回答。

在这种情况下，合法的 DNS 服务器反而会协助攻击。

缓解措施

限制同一 IP 地址的 DNS 请求 / 回答速率。

因为 DNS 解析器会使用缓存，所以理论上来讲，请求转发率会十分低，一定的频率限制应当会有效。

4. 缓存投毒

与目标在于阻塞 DNS 服务器的 DDoS 攻击不同，缓存投毒的目标是将访客从真正的网站重定向到恶意网站。

DNS的5种攻击形式和应对举措

攻击阶段

黑客发送 DNS 请求到 DNS 解析器，解析器会转发请求到 Root/TLD/ DNS 服务器并等待回答。

黑客随后发送大量包含恶意 IP 地址的投毒响应到 DNS 服务器。黑客需要抢在 DNS 回答之前用伪造响应命中正确的端口与查询 ID，这一步可以通过蛮力来提高成功机会。

任何正常用户请求该 DNS 解析器都会得到缓存中被投毒的响应，然后被重定向到恶意网站。

缓解措施

使用 DNSSEC。DNSSEC 通过提供签名过的 DNS 回答来阻止这类攻击。使用 DNSSEC 的 DNS 解析器会验证其从 Root/Top Level Domain (TLD)/ DNS 服务器得到的签名响应。

下列措施可以让黑客更难成功：

对每条请求使用随机查询 ID

对每条请求使用随机源端口

丢弃重复的转发请求

确保响应中所有区域均与请求相符合：query ID、name、class 和 type

【免责声明】本文系本网编辑部分转载，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与管理员联系，我们会予以更改或删除相关文章，以保证您的权益!更多内容请在707945861群中学习了解。