解析DNS缓存服务器的杠杆式攻击方法

不仅仅统招学历哟

热门专业！
大学校园！
就业保障！
拿学历又能高薪就业，谁能不爱！

了解详情>

让每一个家庭“安心”、“放心”

教学为本
师爱为魂
安心学习
放心就业

了解详情>

深耕细作IT职业教育15载

青鸟之星教学质量大奖
卓越风云人物
北大青鸟中心理事会成员
七项荣耀载誉而行！

了解详情>

我们教学怎么样

实力见证
网络组一等奖
网络组二等奖
软件组四等奖
200家校区脱颖而出！

了解更多>

北大青鸟职业IT20周年

重承诺
守信用
放心品牌
放心学习
靠靠谱谱好就业！

了解更多>

我命由我不由天

学个性的技术
做爱做的事
挣满意的钱
衣食无忧
选择宽且高大尚！

了解更多>

我们靠不靠谱

14年办学
14年磨练
14年成长
14年探索
只为让每个学员成材！

了解更多>

不打工也牛掰

好工作
好环境
高薪资
好课程
支持你成为有“钱”人！

了解更多>

学IT就读北大青鸟

好工作
好未来
好老师
好课程
支持你成为受人尊敬的人！

了解更多>

网络技术服务器管理数据库网络安全

作者：北大青鸟添加时间：04-27 浏览次数：0

今天看到一篇文章写得很不错，就转载给大家吧！

发现一台国内的机器流量异常，检查发现这台机器上运行的 DNS 缓存服务被人用作了攻击的放大杠杆，这里简单记一下。

发现流量异常，首先当然是检查服务器上的 TCP 会话，发现了一些不太正常的东西，关闭之后流量减少，但仍然没有回到正常水平。

于是听包。这一听发现一大片：

07:39:53.271744 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271772 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271784 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.271792 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.274225 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274252 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274262 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.274270 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

07:39:53.291822 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291850 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291860 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291869 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

07:39:53.291877 IP 92.XX.XX.148.56278 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

显然，这样来自同一个 IP 地址，在短时间内反复查询同一个域名的现象是不正常的。为什么会是 isc.org？暂时不清楚，但是这样的行为，显然是利用这台机器作为放大攻击的杠杆。攻击者发出伪造成最终受害者为源 IP 地址的 DNS 查询包（这类包的尺寸较回应来说要小的多）到受害的 DNS 缓存服务器，而这些缓存服务器由于在本地已经有了查询到的域名信息副本（这些域名是存在的），会立即向最终的受害者发出回应。这样，攻击者就能够用较小的带宽代价占满最终受害者的下行带宽，实现 DDoS 攻击了。

由于是 DDoS，在防御一方的角度看，阻止这类攻击并不容易。不过，在传统的网络设计中，DNS 缓存服务器是放在 DMZ 里的，因此可以通过在路由上直接过滤掉全部来自外部的 DNS 回应包来缓解这类攻击造成的影响。在运行 DNS 缓存服务器的管理员方面，则应限制对自己运行的 DNS 缓存服务器的访问，例如只在内网接口上监听 DNS 查询请求，而外网接口只用来发出 DNS 请求和接收这些请求的回应，避免被坏人利用成为 DDoS 的杠杆。

好了文章页到此结束，本文仅供技术参考，如若违反法律，与本站无关！

本文由站河南北大青鸟校区整编而成，如需了解更多IT资讯类的文章、新闻、课程和学习技巧、就业案例、招生详情等问题，可以对在线咨询老师进行一对一问答！