DNS 服务器欺骗请求放大 DDoS：网络安全的隐形威胁(图文)

DNS 服务器欺骗请求放大 DDoS 是一种极具威胁性的网络攻击方式。攻击者通过操纵受损的端点，向 DNS 服务器发送带有欺骗性 IP 地址的 UDP 数据包。这些数据包将目标受害者的真实 IP 地址伪装为请求源地址，使得 DNS 服务器在接收到请求后，向目标受害者发送大量的响应数据包。
通常情况下，DNS 响应数据包会比查询数据包大得多。攻击者利用这一特性，仅用较小的查询请求就能诱导 DNS 服务器产生大量的响应流量。例如，攻击者发送的 DNS 查询请求数据包大小一般为 60 字节左右，而查询返回结果的数据包大小通常为 3000 字节以上，这种攻击方式能够达到 50 倍以上的放大效果。在极端情况下，36 字节的查询请求能够产生 3k～4k 字节的应答，实现对攻击流量的一百倍放大。
这种攻击的过程可以分为四个步骤。首先，攻击者使用受损端点将带有欺骗性 IP 地址的 UDP 数据包发送到 DNS 递归器，数据包上的欺骗地址指向受害者的真实 IP 地址。接着，每个 UDP 数据包向 DNS 解析器发出请求，通常会传递诸如 “ANY” 之类的参数，以便接收可能的最大响应。然后，DNS 解析器在收到请求后，会向欺骗的 IP 地址发送大量响应。最后，目标的 IP 地址接收响应，周围的网络基础设施因流量泛滥而变得不堪重负，导致拒绝服务。
虽然一些请求可能不足以破坏网络基础设施，但当此序列在多个请求和 DNS 解析器之间成倍增加时，目标接收的数据放大可能会很大，给目标服务器带来巨大的压力，使其无法正常提供服务。

二、攻击原理与过程

（一）带宽消耗差异利用

攻击者巧妙地利用了攻击者和目标 Web 资源之间的带宽消耗差异。在正常的网络交互中，请求和响应的流量通常是相对平衡的。然而，在 DNS 服务器欺骗请求放大 DDoS 攻击中，攻击者通过发送小的查询请求，却能够诱导 DNS 服务器产生大量的响应。例如，根据搜索到的资料显示，攻击者发送的 DNS 查询请求数据包大小一般为 60 字节左右，而查询返回结果的数据包大小通常为 3000 字节以上，这种攻击方式能够达到 50 倍以上的放大效果。在极端情况下，36 字节的查询请求能够产生 3k～4k 字节的应答，实现对攻击流量的一百倍放大。
通过使僵尸网络中的每个僵尸程序都发出相似的请求，攻击者可以成倍地增加攻击流量。由于僵尸网络中的僵尸程序数量众多，每个程序发送的小查询请求都能够被放大成大量的响应流量，这些流量汇聚到目标服务器，使其承受巨大的压力。攻击者既不会被轻易检测到，又能从大大增加的攻击流量中受益。

（二）四步攻击流程

1. 攻击者使用受损端点将带有欺骗性 IP 地址的 UDP 数据包发送到 DNS recursor，数据包上的欺骗地址指向受害者的真实 IP 地址。

攻击者利用受感染的端点，如被恶意软件控制的计算机或设备，向 DNS 递归器发送 UDP 数据包。这些数据包中的 IP 地址被伪装成受害者的真实 IP 地址，为后续的攻击步骤奠定基础。

2. 每个 UDP 数据包向 DNS 解析器发出请求，通常传递如 “ANY” 之类的参数以接收最大响应。

每个 UDP 数据包都会向 DNS 解析器发出请求，传递特定的参数，如 “ANY”，目的是让 DNS 解析器返回尽可能大的响应。这样可以最大限度地增加攻击流量的放大倍数。

3. DNS 解析器向欺骗的 IP 地址发送大量响应。

DNS 解析器在收到请求后，会尝试通过响应来提供帮助。由于请求中的 IP 地址被欺骗为受害者的真实 IP 地址，DNS 解析器会向这个欺骗的 IP 地址发送大量的响应数据。

4. 目标的 IP 地址接收响应，周围网络基础设施因流量泛滥而不堪重负，导致拒绝服务。

目标服务器的 IP 地址会收到来自 DNS 解析器的大量响应，这些响应数据会迅速淹没目标服务器周围的网络基础设施。当流量超过网络基础设施的承载能力时，就会导致拒绝服务，使目标服务器无法正常为合法用户提供服务。

三、攻击案例分析

（一）某运营商枢纽节点 DNS 遭受攻击事件

1. 攻击过程：2015 年 6 月 15 日上午，某运营商枢纽节点 DNS 网络中防火墙会话数接近饱和（in use count 达到 900 万），绿盟科技 ADS 产品报警有 DDoS 攻击告警，监测发现域名解析延时增大，严重影响了 DNS 业务的正常运行。攻击主要是攻击源向枢纽节点 DNS 发送大量小字节的针对美国黑客网站 defcon.org 域名的 ANY 查询请求，从而使得 DNS 服务器返回大量大字节的数据包。从 15 日凌晨至 19 日，攻击一直在持续，初步统计此次攻击流量至少在 10G 以上。攻击在短时间内发起了峰值大于 6Gbps 的查询请求，造成某运营商枢纽 DNS 递归服务器延迟增大，核心解析业务受到严重影响。

2. 攻击特点：攻击开始时候都是采用 ANY 查询进行放大攻击，放大倍数达到 50 倍左右，基本特征不变，目前没有产生新的变种。攻击源更加多样化，其中智能监控设备和商用无线路由器成为主力。攻击时间不固定，下午多一些。最高流量峰值达到 10G。

3. 影响：严重影响了 DNS 业务的正常运行，域名解析延时增大，解析成功率降低。消耗大量 DNS 服务器的资源，使得正常的解析请求延时增大，解析成功率降低。

（二）全国首起涉及通信运营商 DNS 劫持案

1. 攻击过程：有人在运营商的城域网出口，架设了一台镜像服务器，镜像了全部用户的上网流量数据，再将一种 “劫持程序”，安装在这台镜像服务器中。通过这种方式，让使用这一网络的用户，点击某一网页时强制跳转。赌博网站自称是澳门某知名赌博城，通过网页跳转进行吸粉引流，引人进入网站赌博，继而实施其他诈骗。

2. 攻击特点：隐蔽性强，服务器架设在运营商的机房里，一般人进不去，赶上运营商对机房进行检查的时候，机房的管理人员就会提前撤掉服务器，等检查过去再重新架设。

3. 影响：为赌博网站吸粉引流，可能导致用户财产损失，严重影响网络安全和用户体验。同时，也反映出通信运营商内部管理存在漏洞，容易被不法分子利用。

四、危害与影响

（一）带宽占用与资源消耗

DNS 服务器欺骗请求放大 DDoS 攻击会导致大量的 DNS 响应数据包涌入受害者的网络，极大地占用了受害者的带宽资源。据相关数据统计，在一次典型的攻击中，受害者可能会在短时间内接收到数倍甚至数十倍于正常流量的 DNS 响应数据包。这些数据包不仅占用了宝贵的带宽，还会使其他合法的网络流量受到严重影响，导致网络速度变慢，甚至出现卡顿现象。
同时，服务器在处理这些无效的数据包时，会消耗大量的 CPU 和内存资源。服务器需要不断地解析和处理这些虚假的 DNS 响应，这会使服务器的负载急剧增加。在严重的情况下，服务器可能会因为资源耗尽而无法正常处理合法的请求，从而影响到业务的正常运行。例如，一些在线服务提供商可能会因为遭受这种攻击而无法及时响应客户的请求，导致客户满意度下降，甚至可能会失去客户。

（二）服务中断风险

在极端情况下，DNS 服务器欺骗请求放大 DDoS 攻击可能会导致受害者服务器完全瘫痪，无法提供服务。当攻击流量超过服务器的承载能力时，服务器可能会出现响应缓慢、超时甚至崩溃的情况。这种服务中断不仅会给受害者带来直接的经济损失，还可能会对其声誉造成严重影响。
以电子商务网站为例，如果遭受这种攻击，可能会导致用户无法访问网站进行购物，从而影响销售额。对于金融机构来说，服务中断可能会导致交易无法进行，给客户带来重大损失。此外，服务中断还可能会影响到其他依赖该服务器的系统和服务，引发连锁反应，进一步扩大攻击的影响范围。

五、防御措施

（一）限制 DNS 递归查询
限制 DNS 递归查询可以有效降低 DNS 服务器被欺骗请求放大 DDoS 攻击的风险。一般来说，DNS 服务器可以配置为仅响应来自已知的、受信任的源的递归查询请求。例如，企业可以将其内部网络的 IP 地址范围设置为受信任源，DNS 服务器只对来自这些 IP 地址的请求进行递归查询。这样可以防止攻击者利用外部的恶意 IP 地址发起虚假的递归查询请求，从而减少了 DNS 服务器被利用的可能性。
据统计，通过限制 DNS 递归查询，能够减少大约 30% 至 40% 的潜在攻击流量。这是因为攻击者通常会利用大量的外部 IP 地址来发起攻击，而限制递归查询可以有效地阻止这些外部 IP 地址的请求。

（二）过滤伪造 IP 地址

网络服务提供商可以部署过滤器来识别和丢弃带有伪造源 IP 地址的数据包。这些过滤器可以通过分析数据包的源 IP 地址、TTL 值、数据包大小等特征来判断其是否为伪造的数据包。如果发现数据包带有伪造的源 IP 地址，过滤器可以立即丢弃该数据包，从而防止其进入网络。
例如，一些先进的网络过滤器可以在每秒处理数百万个数据包的同时，准确地识别出伪造的 IP 地址数据包，其准确率可以达到 95% 以上。这样可以大大减少进入网络的恶意数据包数量，降低 DNS 服务器欺骗请求放大 DDoS 攻击的影响。

（三）增加网络容量

提高网络基础设施的承载能力是应对可能的 DDoS 攻击的一种有效方法。企业可以通过增加网络带宽、升级服务器硬件、优化网络架构等方式来提高网络的容量。例如，企业可以将网络带宽从原来的 1Gbps 升级到 10Gbps 甚至更高，这样可以更好地应对大规模的 DDoS 攻击。
据研究表明，增加网络容量可以使网络在遭受 DDoS 攻击时的服务中断时间减少约 50% 至 70%。这是因为增加网络容量可以使网络更好地承受攻击流量，减少因流量过载而导致的服务中断。

（四）使用 DDoS 防护服务

部署专业的 DDoS 防护服务可以实时监测和过滤攻击流量。这些防护服务通常采用先进的流量分析技术和防护算法，可以在攻击发生时迅速识别出攻击流量，并将其过滤掉，只允许合法的流量通过。例如，一些 DDoS 防护服务可以在几秒钟内检测到攻击流量，并在几分钟内将其过滤掉，从而有效地保护网络不受攻击。
此外，DDoS 防护服务还可以提供实时的攻击报告和分析，帮助企业了解攻击的情况和来源，以便采取进一步的措施进行防范。

（五）定期安全审计

对网络基础设施进行定期的安全审计和漏洞扫描是及时发现并修复潜在安全隐患的重要手段。企业可以定期对 DNS 服务器、网络设备、服务器等进行安全审计和漏洞扫描，查找可能存在的安全漏洞和风险，并及时进行修复。例如，企业可以每月进行一次安全审计和漏洞扫描，及时发现并修复新出现的安全问题。
同时，企业还可以建立安全监控机制，实时监测网络流量和系统日志，及时发现异常情况并采取相应的措施进行处理。这样可以有效地提高网络的安全性，降低遭受 DDoS 攻击的风险。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。