文章来源:
“DNS反向查询洪泛攻击”是什么
UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道,在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS 服务器的脆弱性。目前最常用的DNS服务器软件是Bind。
通常攻击者采用的手段包括:
1) 利用发包程序向DNS服务器发送不带任何负载的NULL数据包。由于数据包本身不符合协议规定,服务器在收到报文的时候将直接丢弃。因此这种攻击方式除非攻击流量比较大,否则不会有明显的效果。
2) 利用程序构造DNS解析请求固定的域名,由于DNS服务器在解析请求的时候会在系统cache存放上一次解析的结果,这种攻击方式也需要较大的流量。
3) 向DNS服务器发起解析请求随机的、不存在的域名;这样DNS服务器就需要进行频繁的字符串匹配,由于在本地无法查到对应的结果,服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应。
目前尚没有防火墙能对DNS服务器的攻击进行防护,只有少数的专业防护设备可以做到。防护仍然可以从统计学的角度出发。作为安装在DNS服务器前面的防护设备,在平时运行时可以统计哪些域名是经常被解析请求的,哪些域名是从来都没有被解析请求过的,学习域名解析的结果,对那些经常无法解析的域名引入类似的信誉机制。在攻击发生的时候,防护设备利用内建的高速cache根据平时学习到的域名解析的结果主动响应解析请求,这样减轻DNS服务器的负载。同时,根据统计的结果,过滤部分明显非法的解析请求(例如某个从来未被解析过的域名),对突然发起大量频度较低的域名解析请求的源IP地址进行带宽限制。通过采取这些方法,可以将攻击带来的影响降到最低点。
因DNS Query Flood attack没有专杀工具,杀毒软件很难查杀,所以网络中心现在在重源头上关掉中毒主机。
--------------
泛洪(flooding) 交换机和网桥使用的一种数据流传递技术,将某个接口受到的数据流从除该核接口之外的所有接口发送出去。
SYN泛洪攻击。SYN攻击利用的是TCP的三次握手机制,攻击端利用伪造的IP地址向被攻击端发出请求,而被攻击端发出的响应报文将永远发送不到目的地,那么被攻击端在等待关闭这个连接的过程中消耗了资源,如果有成千上万的这种连接,主机资源将被耗尽,从而达到攻击的目的。我们可以利用路由器的TCP拦截功能,使网络上的主机受到保护(以Cisco路由器为例)。
DHCP报文泛洪攻击
DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。
ARP报文泛洪攻击
ARP报文泛洪类似DHCP泛洪,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。
广播:
广播分为第2层广播和第3层广播。
第2层广播也称硬件广播,用于在局域网内向所有的结点发送数据,通常不会穿过局域网的边界(路由器),除非它变成一个单播。广播将是一个二进制的全1或者十六进制全F的地址。
广播(第3层)用于在这个网络内向所有的结点发送数据。第3层广播也支持平面的老式广播。广播信息是指以某个广播域所有主机为目的的信息。这些被称为网络广播,它们是所有的主机位均为ON。
阅读(3891) | 评论(0) | 转发(0) |