网站安全防护

服务咨询热线:

17202014336

ddos防护,渗透测试

怎么说DNS大规模DDoS攻击?怎么样进行ddos防护?

当前位置: 首页> 安全研究> 怎么说DNS大规模DDoS攻击?怎么样进行ddos防护?
时间:2021-09-11

  上周小编曾写过一篇关于DDoS攻击的文章,最近,有一位客户受到了比DDOS更严重的攻击,DNS的大规模攻击,攻击者持续向客户发送四五百G的攻击流量,这种攻击足以使大型网络主机瘫痪。今日创途安全将带您深入了解什么是ddos防护


  对DNS扩展攻击有深入的理解。


  对DNS进行大规模攻击是攻击者可以通过渗透测试这种方法来放大他们针对潜在受害者的带宽。想像一下,你是个能控制100Mbps流量的僵尸网络的攻击者。尽管这样做对某些网站来说已经足够了,但是在DDoS领域,这个流量相对很小。要增加攻击的数量,你可以试着向僵尸网络添加更多被感染的电脑。这个过程越来越难了。另外,你也可以找到一种方法,把100Mbps放大到更大的范围。

渗透测试
  一开始大规模的攻击被称为SMURF攻击。SMURF攻击是指一个攻击者向路由器的网络广播地址发送ICMP请求(即,ping请求)到路由器的网络广播地址(即XXX255),该路由器配置为将ICMP中继到路由器后面的所有设备。攻击者欺骗ICMP请求源作为目标受害者的IP地址。因为ICMP不包含握手,所以目标无法验证源IP的合法性。路由接收请求,然后把它传送到它后面的所有设备。接下来,所有这些设备将响应ping。一个攻击者可以通过路由器背后多个设备的倍数来放大攻击(也就是说,如果路由器后面有5个设备,攻击者可以把攻击放大5倍)。


  SMURF攻击基本上已经成为过去式了。多数情况下,网络运营商已经将其路由器配置为ICMP请求,发送到网络广播地址。但是,即使扩大攻击途径被关闭,其他的攻击仍然开放。DNS放大攻击的向量有两种标准:(1)可以通过被欺骗的源地址进行查询(例如,通过ICMP或UDP等不需要握手的协议);(2)对查询的响应明显大于查询本身。DNS是符合这些标准的核心,无处不在的互联网平台,因此成为了放大攻击的最大来源。


  开放式DNS解析器:因特网的灾难。


  迄今为止,我多次用过的关键术语是“开放DNS解析器”。最好的做法是,如果运行递归DNS解析器,只对经过授权的客户机查询进行响应。换言之,如果你运行的是递归DNS服务器,而你公司的IP空间是5.5.5.0/24(也就是5.5.5.0-5.5.5.255),那么它应该只响应这个范围内的查询。如果到达9.9.9.9的查询,则不应响应。


  很多运行DNS解析器的人都会打开DNS解析器,并且愿意对任何IP地址进行查询。这个问题至少已经存在了10年之久。近来,很多僵尸网络似乎已经枚举了因特网的IP空间来发现开放式解析器。它们一旦被发现,就可以发起大规模DNS扩展攻击。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的官网新闻!

上一篇:DDOS防御的发展与演进!如何进行ddos防护? 下一篇:怎样降低企业的防护成本?如何选择好的服务器?
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测