DNS 放大攻击：网络安全的潜在威胁与应对之策(图文)

DNS 放大攻击是一种极具破坏性的网络攻击手段。其工作原理主要是利用了 DNS 服务器的特性，即响应报文通常比请求报文大得多。攻击者首先控制大量的僵尸主机，这些僵尸主机伪装成被攻击主机的 IP 地址，在特定时间点连续向多个允许递归查询的 DNS 服务器发送大量的 DNS 服务请求。
例如，攻击者会构造请求，使得 DNS 服务器产生尽可能大的响应。就像一个恶意少年打电话给餐厅，要求每样东西点一份并让餐厅回电确认订单，而提供的回电号码却是目标受害者的电话号码。当餐厅回电时，目标受害者就会收到大量他们并未请求的信息。在 DNS 放大攻击中，每个僵尸主机向开放 DNS 解析器提出请求时都提供欺骗性 IP 地址，也就是目标受害者的真实源 IP 地址。当 DNS 服务器响应这些请求时，大量的应答数据就会发送到目标受害者的 IP 地址上，形成攻击流量。
DNS 放大攻击具有以下特点：一是难以被检测。由于攻击者利用僵尸网络，使得攻击源分散且难以追踪。同时，攻击流量与正常的网络流量混合在一起，增加了检测的难度。二是难以防御。因为攻击流量来自多个 DNS 服务器，而不是单一的攻击源，使得传统的防火墙等防御手段效果有限。而且，攻击者可以不断变换攻击策略，使得防御更加困难。
此外，DNS 放大攻击还具有攻击流量大的特点。查询应答数据包往往比查询请求数据包大数倍甚至数十倍，通过控制大量僵尸主机同时发起攻击，可以产生巨大的攻击流量。据相关数据显示，发送的 DNS 查询请求数据包大小一般为 60 字节左右，而查询返回结果的数据包大小通常为 3000 字节以上，因此，使用该方式进行放大攻击能够达到 50 倍以上的放大效果。这样的攻击流量很容易使目标服务器的带宽被占满，导致服务中断。

二、DNS 放大攻击的危害

（一）网络拥堵与服务中断

DNS 放大攻击会对网络造成严重的拥堵，使目标服务器的带宽迅速被耗尽。当大量的 DNS 响应数据涌向目标服务器时，就如同高速公路上突然涌入远超其承载能力的车辆，网络交通瞬间陷入瘫痪。正常的业务流量无法通过，服务变得不可用。这对于企业来说，可能导致在线业务停滞，客户无法访问网站或使用在线服务，进而影响企业的声誉和经济效益。例如，电商平台在遭受 DNS 放大攻击时，用户无法下单、支付或查询订单状态，企业可能因此损失大量订单和客户。对于关键基础设施，如金融机构、医疗系统等，服务中断可能会带来更严重的后果，甚至危及公共安全。

（二）数据泄露风险

在 DNS 放大攻击过程中，攻击者并非仅仅是为了造成网络拥堵。他们还可能利用攻击获取用户数据，从而带来严重的数据泄露风险。当大量的 DNS 响应数据冲击目标服务器时，攻击者有可能趁机插入恶意代码或利用漏洞窃取用户数据。据统计，在遭受 DNS 放大攻击的案例中，约有 30% 的情况会伴随着不同程度的数据泄露。这些数据可能包括用户的个人信息、登录凭证、财务数据等敏感信息。一旦这些数据落入攻击者手中，用户可能面临身份盗窃、财务损失等风险。企业也会因为数据泄露而面临法律责任、客户信任丧失等问题。例如，某企业的服务器遭受 DNS 放大攻击后，用户的个人信息被窃取，导致部分用户遭受诈骗，企业不仅要承担法律责任，还需要花费大量的时间和资源来恢复用户信任和修复受损的系统。

三、DNS 放大攻击案例分析

（一）经典案例回顾

2015 年 6 月，某运营商枢纽节点 DNS 网络遭受了严重的 DNS 放大攻击。6 月 15 日上午，绿盟科技 ADS 产品报警有 DDoS 攻击告警，同时某运营商网管中心互联网室通知其枢纽节点 DNS 服务器疑似遭受 DDoS 攻击。绿盟科技服务团队立即启动应急响应机制。
攻击主要是攻击源向枢纽节点 DNS 发送大量小字节的针对美国黑客网站 defcon.org 域名的 ANY 查询请求，使得 DNS 服务器返回大量大字节的数据包。初步统计此次攻击流量至少在 10G 以上，攻击在短时间内发起了峰值大于 6Gbps 的查询请求。防火墙会话数接近饱和，in use count 达到 900 万，域名解析延时增大，严重影响了 DNS 业务的正常运行。
攻击源大部分来自运营商某范围内的互联网专线 IP，主要是通过控制肉鸡对美国黑客网站和僵尸网络域名进行 ANY 查询请求和随机查询请求。攻击特点是采用 ANY 查询进行放大攻击，放大倍数达到 50 倍左右，攻击源更加多样化，包括智能监控设备和商用无线路由器等。
6 月 15 日至 16 日，绿盟科技服务团队启动相关分析及数据汇总和 ADS 流量牵引注入工作；6 月 17 日至 19 日，绿盟科技云安全中心服务团队及本地技术团队 24 小时监测攻击变化并随时调整监测阀值。最终，通过开启防护系统的流量牵引注入策略和模式匹配策略，对攻击流量进行清洗和丢弃特定域名的请求数据包，保障了某运营商 DNS 服务的高可用性。

（二）案例启示

从这个案例中，我们可以得到很多重要的经验教训。首先，DNS 放大攻击的危害巨大，不仅会导致网络拥堵和服务中断，还可能带来数据泄露风险。在这个案例中，某运营商的 DNS 业务受到严重影响，域名解析延时增大，成功率降低，给用户带来了极大的不便。同时，攻击源的多样化也提醒我们，网络安全防护不能只关注传统的攻击手段，还需要对新兴的攻击方式保持高度警惕。
其次，及时的应急响应和有效的防护措施至关重要。绿盟科技服务团队在接到攻击告警后，迅速启动应急响应机制，通过分析和数据汇总、流量牵引注入、监测阀值调整等措施，成功地应对了这次攻击。这表明，企业和组织需要建立完善的网络安全应急响应机制，提高应对网络攻击的能力。
最后，加强网络安全防护的重要性不言而喻。企业和组织应该采取多种措施，如正确配置防火墙和网络容量、增大链路带宽、限制 DNS 解析器的查询来源、使用 DDoS 防御产品等，来防范 DNS 放大攻击。同时，还需要加强对网络设备的管理，及时更新密码，防止弱口令被利用。只有这样，才能有效地保护网络安全，保障企业和组织的正常运营。

四、如何防范 DNS 放大攻击

（一）技术层面的防御措施
1. 正确配置防火墙和网络容量
可以过滤掉异常的 DNS 流量，比如源端口为 53 的 UDP 包，或者大小超过 512 字节的 DNS 响应包。通过合理设置防火墙规则，能够有效减少恶意流量进入网络。据相关数据统计，正确配置防火墙后，能够阻挡约 70% 的异常 DNS 流量。
2. 增大链路带宽
提高网络抗压能力，减少因为流量过载而造成的服务中断。例如，当网络带宽从 100Mbps 增加到 1Gbps 时，能够承受的流量压力大幅提升，可在一定程度上缓解 DNS 放大攻击带来的影响。然而，增大链路带宽并非完全解决之道，因为攻击者可以不断增加攻击流量，而且无限增大带宽成本高昂。
3. 限制 DNS 解析器查询
限制 DNS 解析器仅响应来自可信源的查询，或者关闭 DNS 服务器的递归查询功能，防止被攻击者利用。理想情况下，DNS 解析器应仅向源自受信任域的设备提供服务。这样可以大大降低被利用进行放大攻击的风险。
4. 使用 DDoS 防御产品
将入口异常访问请求进行过滤清洗，然后将正常的访问请求分发给服务器进行业务处理。专业的 DDoS 防御产品能够实时监测网络流量，快速识别和阻挡恶意攻击流量。据行业报告显示，使用有效的 DDoS 防御产品可以成功抵御约 90% 的 DNS 放大攻击。

（二）管理层面的策略

1. 采用更严格的访问控制
企业应采用更严格的网络访问控制策略，使用双因素或多因素身份验证，以更好地控制哪些用户可以访问他们的网络。CISA 建议公司定期更改所有可用于更改 DNS 记录的帐户的密码，包括公司管理的 DNS 服务器软件上的帐户、管理该软件的系统、DNS 运营商的管理面板和 DNS 注册商帐户，DNS 管理平台尽量避免采用与其他平台相同和类似的账号密码，以防止黑客采用遍历手段获取 DNS 解析和管理权限。
2. 部署零信任方案
零信任方法越来越受欢迎，部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解 DNS 威胁。Gartner 建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险：一个是零信任网络访问 (ZTNA)，它根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限。根据 Gartner 的说法，零信任能提供一个安全且有弹性的环境，具有更大的灵活性和更好的监控。第二个是基于身份的网络分段，这也是一种久经考验的方法，可以限制攻击者在网络中横向移动的能力。
3. 检查 / 验证 DNS 记录
建议企业及时检查拥有和管理的所有域名，确保名称服务器引用正确的 DNS 服务器，这一点至关重要；检查所有权威和辅助 DNS 服务器上的所有 DNS 记录，发现任何差异和异常，将其视为潜在的安全事件，及时查找原因并解决。通过定期检查和验证 DNS 记录，可以及时发现潜在的安全问题，降低被攻击的风险。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。