《DNS 服务器欺骗请求放大 DDoS：网络安全的隐形威胁》(图文)

DNS 服务器欺骗请求放大 DDoS 是一种极具破坏力的网络攻击手段。其主要特点是利用了 DNS 服务器的漏洞，通过精心构造的欺骗请求，实现流量的大幅放大，从而对目标服务器造成拒绝服务攻击。
这种攻击方式具有以下几个显著特点。首先，隐蔽性强。攻击者通过伪造请求源 IP 地址，将攻击流量伪装成正常的 DNS 查询响应，使得目标服务器难以察觉攻击的真正来源。其次，放大效果显著。攻击者可以利用少量的攻击资源，通过 DNS 服务器的响应机制，将攻击流量放大数十倍甚至数百倍，对目标服务器造成巨大的压力。
例如，在一些实际案例中，攻击者仅使用少量的僵尸网络节点，就能够发起大规模的 DNS 放大攻击。通过向 DNS 服务器发送带有欺骗性 IP 地址的 UDP 数据包，请求特定的参数（如 “ANY”）以获取最大响应。DNS 服务器在接收到请求后，会向欺骗的 IP 地址发送大量响应，导致目标服务器的 IP 地址接收大量虚假流量，周围的网络基础设施因流量泛滥而不堪重负，最终导致拒绝服务。
此外，DNS 放大攻击的成本相对较低。攻击者只需要找到配置不当的 DNS 解析器，并利用其漏洞即可发起攻击，无需投入大量的资源和技术。这使得 DNS 放大攻击成为了网络攻击者常用的手段之一。

二、攻击原理及过程

（一）利用带宽差异

在网络环境中，攻击者和目标 Web 资源之间存在着带宽消耗差异。攻击者巧妙地利用这一差异，通过发送小查询来诱导 DNS 服务器产生大响应。恶意用户如同一个精明的投机者，以少量的资源投入（发送小的查询请求），期望获得巨大的回报（较大的响应）。例如，恶意少年打电话给餐馆并说 “我将拥有一切，请给我回电话并告诉我整个订单。” 餐馆在不知情的情况下，按照恶意少年提供的目标受害者电话号码回电，导致目标接收了许多未请求的信息。同样地，攻击者利用僵尸网络中的每个节点发出相似的请求，成倍地放大攻击效果。由于每个机器人都要求使用欺骗性 IP 地址打开 DNS 解析器，并将该 IP 地址改为目标受害者的真实源 IP 地址，目标服务器就会从 DNS 解析器接收大量响应。这种方式既让攻击者难以被检测到，又能从大大增加的攻击流量中受益。

（二）攻击步骤详解

1. 攻击者首先使用受损端点将带有欺骗性 IP 地址的 UDP 数据包发送到 DNS recursor。这些数据包就像是一枚枚精心伪装的 “导弹”，其欺骗地址明确指向受害者的真实 IP 地址。此时，攻击的 “导火索” 已经被点燃。

2. 接着，每个 UDP 数据包都会向 DNS 解析器发出请求，通常会传递诸如 “ANY” 之类的参数，以便接收可能的最大响应。这一步就如同攻击者向 DNS 解析器发出了一个强烈的 “信号”，要求其提供尽可能多的信息。

3. 收到请求后，尝试通过响应提供帮助的 DNS 解析器会向欺骗的 IP 地址发送大量响应。DNS 解析器在不知情的情况下，成为了攻击者的 “帮凶”，将大量的数据流量导向了目标受害者。

4. 最后，目标的 IP 地址接收响应，周围的网络基础设施因流量泛滥而不堪重负，导致拒绝服务。目标服务器如同陷入了一场突如其来的 “洪水” 之中，被虚假流量所阻塞，无法正常为合法用户提供服务。尽管一些请求可能不足以破坏网络基础设施，但当此序列在多个请求和 DNS 解析器之间成倍增加时，目标接收的数据放大可能很大。例如，根据一些研究数据表明，在某些严重的 DNS 放大攻击案例中，目标服务器接收的流量可以放大数十倍甚至上百倍，给目标服务器带来巨大的压力。

三、案例分析

（一）经典攻击事件

在某运营商枢纽节点 DNS 网络中，防火墙会话数接近饱和，达到了惊人的 900 万。绿盟科技 ADS 产品报警有 DDoS 攻击告警，监测发现域名解析延时增大，严重影响了 DNS 业务的正常运行。此次攻击主要是攻击源向枢纽节点 DNS 发送大量小字节的针对美国黑客网站 defcon.org 域名的 ANY 查询请求，从而使得 DNS 服务器返回大量大字节的数据包。攻击源大部分来自运营商某范围内的互联网专线 IP。从 2015 年 6 月 15 日至 19 日，攻击一直在持续，初步统计此次攻击流量至少在 10G 以上。攻击在短时间内发起了峰值大于 6Gbps 的查询请求，造成某运营商枢纽 DNS 递归服务器延迟增大，核心解析业务受到严重影响。

（二）攻击影响分析

这种攻击不仅给运营商带来了巨大的压力，也对广大用户造成了严重的影响。域名解析延时增大，使得用户在访问网站时需要等待更长的时间，甚至可能导致无法正常访问网站。同时，大量的虚假流量也占用了网络资源，影响了其他正常业务的开展。例如，在 “519 暴风断网” 事件中，游戏私服攻击竞争对手 DNS 服务，导致 DNSPod 的服务器被运营商下线。而暴风影音软件在请求失败后持续不断地重新发起请求，几亿安装了暴风影音客户端的 PC 充当 “肉鸡”，导致运营商 DNS 缓存服务器无法提供服务，进而导致大面积断网。

（三）案例启示

这些实际案例告诉我们，DNS 服务器欺骗请求放大 DDoS 攻击的破坏力巨大，我们必须高度重视网络安全，加强对 DNS 服务器的防护。一方面，运营商和互联网服务提供商应采取有效的防护措施，如限制 DNS 解析器仅响应来自可信源的查询、实施入口过滤等。另一方面，企业和个人用户也应提高安全意识，及时更新软件，避免成为攻击的 “肉鸡”。

四、对网络的影响

DNS 服务器欺骗请求放大 DDoS 攻击对网络有着多方面的严重负面影响。
首先，对网络基础设施而言，这种攻击会导致网络饱和。大量虚假的 DNS 响应流量充斥网络，使得网络带宽被迅速占用。例如，在一些严重的攻击案例中，攻击流量可以瞬间达到几十甚至上百 Gbps。这就如同在高速公路上突然涌入了大量的车辆，使得正常的网络通信变得拥堵不堪。网络运营商为了应对这种情况，可能会采取一些紧急措施，如将所有流量黑洞到目标受害者的 IP 地址，虽然这样可以保护自身网络不被攻击流量完全淹没，但也会导致目标站点脱机，无法为用户提供服务。
其次，对于网站服务来说，这种攻击可能会导致服务器瘫痪。网站服务器在接收到大量虚假的 DNS 响应后，其资源会被迅速耗尽，包括内存、CPU 等。当服务器的资源被耗尽时，它就无法正常处理合法用户的请求，从而导致网站无法访问。以电商网站为例，如果在购物高峰期间遭受 DNS 服务器欺骗请求放大 DDoS 攻击，那么用户将无法浏览商品、下单购买或者进行支付等操作，这不仅会给用户带来极大的不便，也会给电商企业带来巨大的经济损失。
此外，这种攻击还会影响其他网络服务的正常运行。例如，电子邮件服务可能会因为网络拥堵而无法正常发送和接收邮件；即时通讯服务可能会出现延迟、掉线等问题。而且，这种攻击的影响不仅仅局限于被攻击的目标服务器，还可能会波及到整个网络中的其他服务器和设备。因为网络中的设备之间是相互关联的，一个设备的故障可能会引发连锁反应，影响到其他设备的正常运行。
总之，DNS 服务器欺骗请求放大 DDoS 攻击对网络基础设施和网站服务等方面都有着极大的负面影响，严重威胁着网络安全和稳定。我们必须采取有效的防护措施，以应对这种日益严重的网络攻击威胁。

五、防范措施

（一）减少开放 DNS 解析器
理想情况下，DNS 解析器应仅向源自受信任域的设备提供服务。通过将配置不当的 DNS 解析器暴露给 Internet，攻击者很容易利用这些漏洞发起攻击。减少开放的 DNS 解析器数量，可以降低攻击的风险。例如，在一些企业网络中，只允许特定的 IP 地址范围访问 DNS 解析器，从而限制了潜在的攻击面。据统计，通过限制 DNS 解析器的访问范围，可以将遭受 DNS 放大攻击的概率降低 30% 以上。这样使得服务器成为任何类型的放大攻击的不良工具，大大提高了网络的安全性。

（二）源 IP 验证

由于攻击者僵尸网络发送的 UDP 请求必须具有欺骗受害者 IP 地址的源 IP 地址，因此 Internet 服务提供商（ISP）拒绝任何内部流量欺骗的 IP 地址至关重要。如果从网络内部发送一个数据包，其源地址使其看起来像是在网络外部发起的，那么它很可能是一个欺骗性数据包，可以被丢弃。例如，某 ISP 实施了严格的入口过滤措施后，成功拦截了大量的欺骗性数据包，使得该地区的网络遭受 DNS 放大攻击的次数减少了 50%。Cloudflare 强烈建议所有提供商实施入口过滤，以有效降低基于 UDP 的放大攻击的有效性。

（三）配置 WAF

Web 应用防火墙（WAF）是防御常见攻击的有效工具。腾正 WAF 基于云安全大数据能力，用于防御 SQL 注入、XSS 跨站脚本、常见 Web 服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP 常见攻击，并过滤海量恶意 CC 攻击，避免网站资产数据泄露，保障网站业务的安全与可用性。通过配置 WAF，可以在互联网和源站之间建立一道坚固的防线，保护目标服务器，防止其遭受特定类型的恶意流量入侵。

（四）其他策略

1. 评估风险：企业制定安全策略的第一步应该是明确企业所使用的应用程序及其运行模式，以便识别异常活动并及时作出响应。企业可以建立具有高级缓解功能的可扩展 DDoS 保护系统，具体包括流量监控、自适应实时调节、DDoS 防护遥测、监控和警报、快速响应小组等。例如，某大型企业在实施了全面的风险评估后，成功提前发现了潜在的 DDoS 攻击风险，并及时采取了防范措施，避免了重大损失。

2. 制定响应策略：制定快速响应策略是最有效的防御措施之一，企业可以组建一个明确如何识别、缓解和监测攻击的 DDoS 快速响应团队。当攻击发生时，这个团队能够迅速行动，采取有效的措施来减轻攻击的影响。

3. 识别潜在风险：通过模拟网络攻击来评估系统安全防御质量、识别潜在的攻击风险，可以清晰知晓系统中存在的安全隐患和问题。当然，这种模拟测试应该是一个渐进的并且逐步深入的过程，不能影响业务系统正常运行。例如，一些企业定期进行安全模拟测试，及时发现并修复了系统中的漏洞，提高了网络的安全性。

4. 及时更改安全策略：在企业被 DDoS 攻击后，应立刻建立的 DDoS 响应团队或其他专业人员进行攻击调查和攻击后分析，及时溯源，修改安全防御措施，提高 DDoS 响应策略的有效性。企业需要根据实际情况不断调整和完善安全策略，以应对不断变化的网络安全威胁。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。