DDoS 攻击
分布式拒绝服务(DDoS)攻击是一种恶意行为,旨在通过来自多个源头的大量互联网流量淹没目标服务器、服务或网络,从而破坏其正常流量。在 DNS 环境中,攻击者通常利用 DNS 基础设施,通过 DNS 放大等技术生成大量流量,并将其引导至受害者。
How it works
DDoS 攻击通过大量流量淹没目标系统,使其无法处理合法请求。与来自单一源头的简单 DoS 攻击不同,DDoS 攻击使用多个被入侵的系统(通常是数千台形成"僵尸网络"的受感染设备)同时攻击目标,这使得攻击更难以阻止和追踪。
DNS 经常被 DDoS 攻击利用,特别是通过一种称为 DNS 放大的技术:
**DNS 放大攻击流程:**
1. **IP 欺骗**:攻击者向开放的 DNS 解析器发送 DNS 查询,但伪造源 IP 地址,使请求看起来像是来自受害者的 IP 地址
2. **构造大型查询**:攻击者精心设计 DNS 查询,以生成尽可能大的响应。通常,他们使用 "ANY" 查询,该查询请求 DNS 区域的所有可用信息
3. **放大响应**:DNS 服务器认为它们正在响应来自受害者的合法请求,于是向受害者的 IP 地址发送大型 DNS 响应(最多可达原始查询的 70 倍)
4. **流量淹没**:受害者同时从许多 DNS 服务器收到大量未经请求的 DNS 响应流量,淹没其网络带宽,使其服务无法访问
放大因子使基于 DNS 的 DDoS 攻击特别有效。一个 60 字节的小查询可以生成 4,000 字节的响应,提供 70 倍的放大因子。当这一过程在数千个开放 DNS 解析器上同时进行时,可以产生毁灭性的流量。
Key Points
- DDoS 攻击使用多个源头淹没目标,使其难以阻止
- DNS 放大利用开放 DNS 解析器将攻击流量放大 50-70 倍
- 攻击者伪造受害者的 IP 地址,将 DNS 响应重定向到目标
- "ANY" DNS 查询类型通常用于最大化响应大小
- 现代 DDoS 攻击每秒可产生数百千兆比特的流量
Common Use Cases
- DNS 放大攻击: 利用开放 DNS 解析器将小型查询放大为指向受害者的大型响应,淹没其网络容量
- DNS 洪水攻击: 用数百万 DNS 查询淹没权威 DNS 服务器,阻止其响应合法请求
- 反射攻击: 使用 DNS 服务器作为中介,隐藏攻击者的真实位置,同时将放大的流量引导至受害者
- 基础设施破坏: 针对关键 DNS 基础设施(如根服务器或主要 DNS 提供商)发起攻击,破坏大量人群的互联网服务
code DNS 放大攻击示例
| Type | Host / Name | Value / Points to | TTL |
|---|---|---|---|
| 查询 | 攻击者 → DNS 服务器 | 60 字节 | — |
| 响应 | DNS 服务器 → 受害者 | 4,000 字节 | — |
| 规模 | 10,000 台 DNS 服务器 | 总计 40 MB | — |
| 影响 | 受害者网络 | 瘫痪 | — |
* 此示例展示了小型 DNS 查询如何被放大为指向受害者的大型响应。
Frequently Asked Questions
DoS 和 DDoS 有什么区别?expand_more
DoS(拒绝服务)涉及单个攻击者或源头淹没目标,而 DDoS(分布式拒绝服务)使用多个源头——通常是数千台被入侵的计算机(僵尸网络)——同时发起攻击。DDoS 攻击更强大且更难以缓解,因为阻止单个 IP 地址无法停止攻击,而且分布式特性使得追踪到原始攻击者变得困难。
如何防止 DNS 放大攻击?expand_more
预防需要在多个层面采取行动:DNS 服务器运营商应禁用开放递归解析器,或仅将其限制为已知客户端,实施响应速率限制(RRL),并过滤来自不可信源的 "ANY" 查询。网络运营商应实施入口过滤(BCP 38)以防止 IP 欺骗。组织还可以使用 DDoS 防护服务,在恶意流量到达其基础设施之前吸收和过滤这些流量。
为什么开放 DNS 解析器是个问题?expand_more
开放 DNS 解析器接受来自互联网上任何人的查询,而不仅仅是授权客户端。虽然这看起来很有帮助,但这使它们容易被用于 DNS 放大攻击。攻击者可以滥用这些开放解析器来放大攻击,而无需入侵它们。这就是为什么 DNS 最佳实践建议递归解析器应仅接受来自授权客户端的查询,而不是整个互联网。
DNSSEC 能防止 DDoS 攻击吗?expand_more
不能,DNSSEC 并非旨在防止 DDoS 攻击。DNSSEC 为 DNS 数据提供身份验证和完整性保护,但它不能防止洪水攻击。事实上,DNSSEC 可能会使放大攻击变得更糟,因为签名的 DNS 响应比未签名的响应更大。然而,DNSSEC 确实可以防止某些基于 DNS 的攻击,如可能与 DDoS 攻击结合使用的缓存投毒。
DDoS 攻击能有多大规模?expand_more
现代 DDoS 攻击可能规模巨大。一些有记录的最大 DNS 放大攻击已超过每秒 1 太比特(Tbps)的流量。2016 年,Dyn DNS 攻击达到 1.2 Tbps,并暂时中断了包括 Twitter、Netflix 和 Reddit 在内的主要网站。随着僵尸网络规模的扩大和放大技术的改进,攻击规模持续增加,使 DDoS 缓解成为一场持续的军备竞赛。