DDoS攻擊是指通過僵尸網絡利用各種服務請求耗盡被攻擊網絡的系統資源,造成被攻擊網絡無法處理合法用戶的請求。
針對DNS的DDoS攻擊又可按攻擊發起者和攻擊特征進行分類:
1、按攻擊發起者分類 僵尸網絡:控制大批僵尸網絡利用真實DNS協議棧發起大量域名查詢請求 模擬工具:利用工具軟件偽造源IP發送海量DNS查詢
2、按攻擊特征分類 Flood攻擊:發送海量DNS查詢報文導致網絡帶寬耗盡而無法傳送正常DNS 查詢請求。資源消耗攻擊:發送大量非法域名查詢報文引起DNS服務器持續進行迭代查詢,從而達到較少的攻擊流量消耗大量服務器資源的目的。
應對辦法:
1、屏蔽未經請求發送的DNS響應信息
一個典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS服務器中,在DNS服務器對查詢請求進行處理之后,服務器會將響應信息返回給DNS解析器。但值得注意的是,響應信息是不會主動發送的。服務器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,回應就被丟棄丟棄快速重傳數據包。1.即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同一DNS服務器發送相同的DNS查詢請求。2.如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可丟棄。
2、啟用TTL
如果DNS服務器已經將響應信息成功發送了,應該禁止服務器在較短的時間間隔內對相同的查詢請求信息進行響應。1.對于一個合法的DNS客戶端如果已經接收到了響應信息,就不會再次發送相同的查詢請求。2.每一個響應信息都應進行緩存處理直到TTL過期。3.當DNS服務器遭遇大量查詢請求時,可以屏蔽掉不需要的數據包。丟棄未知來源的DNS查詢請求和響應數據通常情況下,攻擊者會利用腳本來對目標進行分布式拒絕服務攻擊(DDoS攻擊),而且這些腳本通常是有漏洞的。因此,在服務器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入服務器的數據包數量。丟棄未經請求或突發的DNS請求這類請求信息很可能是由偽造的代理服務器所發送的,或是由于客戶端配置錯誤或者是攻擊流量。所以無論是哪一種情況,都應該直接丟棄這類數據包。非泛洪攻擊 (non-flood) 時段,創建一個白名單,添加允許服務器處理的合法請求信息。白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。這種方法能夠有效地保護服務器不受泛洪攻擊的威脅,也能保證合法的域名服務器只對合法的DNS查詢請求進行處理和響應。
3、啟動DNS客戶端驗證
偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用于從偽造泛洪數據中篩選出非泛洪數據包。對響應信息進行緩存處理如果某一查詢請求對應的響應信息已經存在于服務器的DNS緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止服務器因過載而發生宕機。
很多請求中包含了服務器不具有或不支持的信息,我們可以進行簡單的阻斷設置,例如外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。利用ACL,BCP38,及IP信譽功能的使用托管DNS服務器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置一個簡單的過濾器可阻斷不需要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
還有一種情況,某些偽造的數據包可能來自與內部網絡地址,可以利用BCP38通過硬件過濾也可以清除異常來源地址的請求。BCP38對于提供DNS解析的服務提供商也相當有用,可以避免用戶向外發送攻擊或受到內部地址請求的攻擊,過濾用戶并保證其數據傳輸。
4、提供余量帶寬
如果服務器日常需要處理的DNS通信量達到了X Gbps,請確保流量通道不止是日常的量,有一定的帶寬余量可以有利于處理大規模攻擊。結語,目前針對DNS的攻擊已成為最嚴重的網絡威脅之一。目前越來越多的大型網站注重DNS保護這一塊。為保障網站安全,保障網站利益,選擇高防型的DNS為自己的域名進行解析已經迫在眉睫。