国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 系統(tǒng)安全 >

一種針對DNS緩存辦事器的杠桿式報復(fù)打擊

時間:2013-05-04 10:19來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
一種針對DNS緩存辦事器的杠桿式報復(fù)打擊 筆者發(fā)現(xiàn)一臺國內(nèi)的機(jī)械流量異常,查抄發(fā)現(xiàn)這臺機(jī)械上運(yùn)行的DNS緩存辦事被人用作了報復(fù)打擊的放大年夜杠桿,這里簡單記一下。 發(fā)現(xiàn)流量異常,起
Tags系統(tǒng)安全(735)DNS(13)緩存服務(wù)器(1)杠桿式攻擊(1)  

  一種針對DNS緩存辦事器的杠桿式報復(fù)打擊

  筆者發(fā)現(xiàn)一臺國內(nèi)的機(jī)械流量異常,查抄發(fā)現(xiàn)這臺機(jī)械上運(yùn)行的DNS緩存辦事被人用作了報復(fù)打擊的放大年夜杠桿,這里簡單記一下。

  發(fā)現(xiàn)流量異常,起首當(dāng)然是查抄辦事器上的TCP會話,發(fā)現(xiàn)了一些不太正常的東西,封鎖以后流量削減,但仍然沒有回到正常程度。

  因而聽包。這一聽發(fā)現(xiàn)一***:

  07:39:53.271744 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.271772 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.271784 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.271792 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.274225 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

  07:39:53.274252 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

  07:39:53.274262 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

  07:39:53.274270 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

  07:39:53.291822 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.291850 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.291860 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.291869 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

  07:39:53.291877 IP 92.XX.XX.148.56278 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

  明顯,如許來自統(tǒng)一個 IP 地址,在短時候內(nèi)幾次查詢統(tǒng)一個域名的現(xiàn)象是不正常的。為甚么會是 isc.org?臨時不清晰,可是如許的行動,明顯是操縱這臺機(jī)械作為放大年夜報復(fù)打擊的杠桿。報復(fù)打擊者發(fā)出捏造成最終受害者為源 IP 地址的DNS查詢包(這類包的尺寸較回應(yīng)來講要小的多)到受害的DNS緩存辦事器,而這些緩存辦事器因?yàn)樵诒镜匾延辛瞬樵兊降挠蛎畔⒏北?這些域名是存在的),會當(dāng)即向最終的受害者發(fā)出回應(yīng)。如許,報復(fù)打擊者就可以夠用較小的帶寬代價占滿最終受害者的下行帶寬,實(shí)現(xiàn) DDoS 報復(fù)打擊了。

  因?yàn)槭荄DoS,在防御一方的角度看,禁止這類報復(fù)打擊其實(shí)不等閑。不外,在傳統(tǒng)的收集設(shè)計中,DNS緩存辦事器是放在DMZ 里的,是以可以經(jīng)由過程在路由上直接過濾掉落全數(shù)來自外部的 DNS 回應(yīng)包來減緩這類報復(fù)打擊釀成的影響。在運(yùn)行DNS緩存辦事器的治理員方面,則應(yīng)限制對本身運(yùn)行的DNS緩存辦事器的拜候,例如只在內(nèi)網(wǎng)接口上監(jiān)聽DNS查詢要求,而外網(wǎng)接口只用來發(fā)出DNS要乞降領(lǐng)受這些要求的回應(yīng),避免被壞人操縱成為DDoS的杠桿。

------分隔線----------------------------

推薦內(nèi)容