10种方法简单处理基于DNS的DDoS攻击

安全 黑客攻防
由于UDP是一种无连接协议,且可用脚本轻松生成大量UDP数据包而常被用于海量带宽的DDoS攻击,也就是UDP泛洪攻击。

由于UDP是一种无连接协议,且可用脚本轻松生成大量UDP数据包而常被用于海量带宽的DDoS攻击,也就是UDP泛洪攻击。

DNS主要采用的是UDP协议,某些情况下采用TCP协议, 而UDP/DNS协议也常被DDoS工具利用。

DNS协议是一个十分重要的网络协议,所以这个协议的可用性就异常重要。为了让DNS拒绝服务,恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求。目前互联网中存在着上百万开放的DNS解析器,包括很多的家庭网关。

开放的DNS解析器会认为这些伪造的查询请求是真实有效的,并且会对这些请求进行处理,在处理完成之后,便会向伪造的请求者(即,受害人)返回DNS响应信息。如果查询请求的数量巨大,DNS服务器很有可能会发送大量的DNS响应信息。这也就是我们常说的放大攻击,这种方法利用的是DNS解析器中的错误配置。由于DNS服务器配置错误,那么DNS解析器很可能会在接收到一个非常小的DNS查询请求之后,向目标主机返回大量的攻击流量。在另一种类型的攻击中,是向DNS服务器发送未经许可或不符合规则的查询请求来进行攻击。

那么我们就来介绍下如何通过Fortinet所提供的FortiDDoS解决方案中10种简单而实用的方法来缓解DNS泛洪攻击所带来的影响,更好地保护DNS基础设施。

不允许未经过请求的DNS响应

一个典型的DNS交换信息是由解析器到服务器的请求,以及从服务器到解析器到服务器的响应信息组成。没有未经过请求的回应,同样也没有回应信息也不会被回应信息响应。

FortiDDos部署在DNS解析器之前,DNS解析可以是一个开放的解析器或一台认证服务器。

这是一种连接在网络中的设备,其每秒可以处理数百万次查询请求,且将查询信息和相应响应信息记录在内存表中。

当一个回应已经到达,但如果相应的请求没有通过,回应就被丢弃。这种机制能够有效地缓解DDos攻击影响。

10种方法简单处理基于DNS的DDoS攻击

丢弃快速重传数据包

即便是在数据包丢失的情况下,任何合法的DNS客户端均不会在较短的时间间隔向同一DNS服务器发送相同的查询请求。每个RFC均需遵守查询重传数据包的规则。

因此,如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,那么数据包可丢弃。

10种方法简单处理基于DNS的DDoS攻击

如果DNS服务器已经发送了响应信息,应禁止服务器在较短时间间隔内对相同的查询请求信息进行响应——启用TTL

一个合法的DNS客户端如果已经接收到了响应信息,就不会再次发送相同的查询请求。

每一个响应信息都应进行缓存处理直到TTL过期。当DNS遭遇请求泛洪时可以启动阻断无关的请求。

10种方法简单处理基于DNS的DDoS攻击

丢弃异常来源的DNS请求和响应

通常情况下,攻击者会利用脚本来对目标进行分布式拒绝服务攻击(DDoS攻击),而且这些脚本是有漏洞的,不符合与DNS报头有关的RFC。在服务器中部署简单的匿名检测机制,在某种程度上可以限制泛洪中的数据包数量。

10种方法简单处理基于DNS的DDoS攻击

果断丢弃未经请求或突发的DNS请求

这类请求信息很可能是由伪造的代理服务器所发送的,或者由于调试需要客户端配置错误或者是攻击流量。以上任何一种情况下果断丢弃数据包。

非泛洪攻击 (non-flood) 时段,创建一个白名单,添加允许服务器处理的合法请求信息。

白名单可以阻断非法的查询请求信息以及非常见数据包。

这种方法可以有效地保护您的服务器不受泛洪攻击、影子域名 (phantom-domain) 以及影子子域名 (phantom-subdomain) 的威胁。

除此之外,还也可以保证认证服务器只处理合法的域名服务器只对合法的DNS查询请求进行处理和响应。

10种方法简单处理基于DNS的DDoS攻击

启动DNS客户端验证

伪造是DNS攻击中常用的一种技术。

如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

FortiDDoS就是通过反伪造技术,例如强制TCP传输或重传。

响应缓存避免DNS服务器过载宕机

FortiDDoS内嵌了高性能的DNS缓存工具,使用硬件线路每秒处理百万DNS请求

遇到泛洪攻击时,如果响应数据在缓存中,DNS查询通过上述所有检测后,缓存便能够响应,。从而有效地防止服务器因过载而宕机。

使用ACL的权限

许多请求中包含了服务器不具有或不支持的信息,那么可以进行简单的阻断设置,例如外部IP地址请求区域转换或碎片化数据包,直接丢弃即可。

定位ACL,BCP38,及IP信誉功能的使用

托管DNS服务器的任何企业都有用户轨迹的限制。

当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

同样,伪造是随机的。有时,某些伪造的数据包可能来自与内部网络地址。利用BCP38通过硬件过滤也可以清除异常来源地址的请求。

BCP38对于提供DNS解析的服务提供商也相当有用,可以避免用户向外发送攻击或受到内部地址请求的攻击,过滤用户并保证其数据传输。

10种方法简单处理基于DNS的DDoS攻击

余量带宽

如果日常DNS流量假设是 X Gbps, 确保流量通道不止是日常的量,有一定的带宽余量可以有利于处理大规模攻击。

通过Fortinet FortiDDoS提供的上述10种非常简单的方法,可以有效地帮助您缓解许多基于DNS的DDoS攻击,并保证您所提供的服务可以满足客户的使用需求。

责任编辑:守望幸福 来源: 51CTO.com
相关推荐

2020-06-17 10:52:00

DDoS攻击网络攻击网络安全

2010-09-30 09:17:27

2012-03-14 11:08:00

2019-01-17 14:02:53

2020-07-29 10:11:17

网络钓鱼电子邮件邮件安全

2015-05-06 10:02:26

2018-03-19 08:46:52

2018-12-20 10:54:49

网络攻击网络安全漏洞

2018-07-12 07:21:34

2010-08-24 09:49:44

2019-08-22 07:24:25

2011-03-31 11:20:18

2012-11-29 13:24:44

2020-11-10 10:23:25

IT成本CIO高级分析师

2010-09-08 17:33:31

2022-10-27 08:09:33

2023-08-17 12:37:35

2018-04-27 15:02:10

2009-07-13 21:02:36

2012-10-23 10:19:28

点赞
收藏

51CTO技术栈公众号