DDoS 攻擊
分布式拒絕服務(DDoS)攻擊是一種惡意行為,旨在通過來自多個源頭的大量網際網路流量淹沒目標伺服器、服務或網路,從而破壞其正常流量。在 DNS 環境中,攻擊者通常利用 DNS 基礎設施,通過 DNS 放大等技術生成大量流量,並將其引導至受害者。
How it works
DDoS 攻擊通過大量流量淹沒目標系統,使其無法處理合法請求。與來自單一源頭的簡單 DoS 攻擊不同,DDoS 攻擊使用多個被入侵的系統(通常是數千台形成「殭屍網路」的受感染設備)同時攻擊目標,這使得攻擊更難以阻止和追蹤。
DNS 經常被 DDoS 攻擊利用,特別是通過一種稱為 DNS 放大的技術:
**DNS 放大攻擊流程:**
1. **IP 欺騙**:攻擊者向開放的 DNS 解析器發送 DNS 查詢,但偽造源 IP 地址,使請求看起來像是來自受害者的 IP 地址
2. **構造大型查詢**:攻擊者精心設計 DNS 查詢,以生成盡可能大的響應。通常,他們使用「ANY」查詢,該查詢請求 DNS 區域的所有可用資訊
3. **放大響應**:DNS 伺服器認為它們正在響應來自受害者的合法請求,於是向受害者的 IP 地址發送大型 DNS 響應(最多可達原始查詢的 70 倍)
4. **流量淹沒**:受害者同時從許多 DNS 伺服器收到大量未經請求的 DNS 響應流量,淹沒其網路頻寬,使其服務無法存取
放大因子使基於 DNS 的 DDoS 攻擊特別有效。一個 60 位元組的小查詢可以生成 4,000 位元組的響應,提供 70 倍的放大因子。當這一過程在數千個開放 DNS 解析器上同時進行時,可以產生毀滅性的流量。
Key Points
- DDoS 攻擊使用多個源頭淹沒目標,使其難以阻止
- DNS 放大利用開放 DNS 解析器將攻擊流量放大 50-70 倍
- 攻擊者偽造受害者的 IP 地址,將 DNS 響應重定向到目標
- 「ANY」DNS 查詢類型通常用於最大化響應大小
- 現代 DDoS 攻擊每秒可產生數百千兆位元的流量
Common Use Cases
- DNS 放大攻擊: 利用開放 DNS 解析器將小型查詢放大為指向受害者的大型響應,淹沒其網路容量
- DNS 洪水攻擊: 用數百萬 DNS 查詢淹沒權威 DNS 伺服器,阻止其響應合法請求
- 反射攻擊: 使用 DNS 伺服器作為中介,隱藏攻擊者的真實位置,同時將放大的流量引導至受害者
- 基礎設施破壞: 針對關鍵 DNS 基礎設施(如根伺服器或主要 DNS 提供商)發起攻擊,破壞大量人群的網際網路服務
code DNS 放大攻擊示例
| Type | Host / Name | Value / Points to | TTL |
|---|---|---|---|
| 查詢 | 攻擊者 → DNS 伺服器 | 60 位元組 | — |
| 響應 | DNS 伺服器 → 受害者 | 4,000 位元組 | — |
| 規模 | 10,000 台 DNS 伺服器 | 總計 40 MB | — |
| 影響 | 受害者網路 | 癱瘓 | — |
* 此示例展示了小型 DNS 查詢如何被放大為指向受害者的大型響應。
Frequently Asked Questions
DoS 和 DDoS 有什麼區別?expand_more
DoS(拒絕服務)涉及單個攻擊者或源頭淹沒目標,而 DDoS(分布式拒絕服務)使用多個源頭——通常是數千台被入侵的電腦(殭屍網路)——同時發起攻擊。DDoS 攻擊更強大且更難以緩解,因為阻止單個 IP 地址無法停止攻擊,而且分布式特性使得追蹤到原始攻擊者變得困難。
如何防止 DNS 放大攻擊?expand_more
預防需要在多個層面採取行動:DNS 伺服器運營商應禁用開放遞迴解析器,或僅將其限制為已知客戶端,實施響應速率限制(RRL),並過濾來自不可信源的「ANY」查詢。網路運營商應實施入口過濾(BCP 38)以防止 IP 欺騙。組織還可以使用 DDoS 防護服務,在惡意流量到達其基礎設施之前吸收和過濾這些流量。
為什麼開放 DNS 解析器是個問題?expand_more
開放 DNS 解析器接受來自網際網路上任何人的查詢,而不僅僅是授權客戶端。雖然這看起來很有幫助,但這使它們容易被用於 DNS 放大攻擊。攻擊者可以濫用這些開放解析器來放大攻擊,而無需入侵它們。這就是為什麼 DNS 最佳實踐建議遞迴解析器應僅接受來自授權客戶端的查詢,而不是整個網際網路。
DNSSEC 能防止 DDoS 攻擊嗎?expand_more
不能,DNSSEC 並非旨在防止 DDoS 攻擊。DNSSEC 為 DNS 資料提供身份驗證和完整性保護,但它不能防止洪水攻擊。事實上,DNSSEC 可能會使放大攻擊變得更糟,因為簽名的 DNS 響應比未簽名的響應更大。然而,DNSSEC 確實可以防止某些基於 DNS 的攻擊,如可能與 DDoS 攻擊結合使用的快取投毒。
DDoS 攻擊能有多大規模?expand_more
現代 DDoS 攻擊可能規模巨大。一些有記錄的最大 DNS 放大攻擊已超過每秒 1 太位元(Tbps)的流量。2016 年,Dyn DNS 攻擊達到 1.2 Tbps,並暫時中斷了包括 Twitter、Netflix 和 Reddit 在內的主要網站。隨著殭屍網路規模的擴大和放大技術的改進,攻擊規模持續增加,使 DDoS 緩解成為一場持續的軍備競賽。