探秘 DNS 放大生态系统(图文)

DNS 放大攻击作为一种分布式拒绝服务（DDoS）攻击形式，正日益引起人们的关注。其主要利用了域名系统（DNS）服务器中的漏洞，将原本较小的查询请求转化为巨大的流量负载，从而破坏受害者的服务器。
这种攻击的原理在于，攻击者首先利用僵尸网络中的被控主机，伪装成被攻击主机，向多个允许递归查询的 DNS 服务器发送大量 DNS 服务请求。这些请求通常带有欺骗性的 IP 地址，指向被攻击主机。DNS 服务器在接收到请求后，会尝试提供应答服务，而应答数据经过 DNS 服务器放大后，会发送到被攻击主机。由于应答数据通常比请求数据大数倍，所以大量的流量会瞬间涌向被攻击主机，耗尽其资源，导致无法提供正常服务甚至瘫痪。
例如，根据搜索到的素材，在一个 DNS 放大攻击中，攻击者就好比一个恶意少年打电话给一家餐厅，说 “我要每样东西点一份，请给我回电话，告诉我整个订单”。当餐厅询问回电号码时，提供的是目标受害者的电话号码。然后目标会接到来自餐厅的电话，提供其并未请求的大量信息。在实际攻击中，攻击者会以某种方式构造请求，以便让 DNS 服务器产生尽可能大的响应。一般来说，攻击者会查询尽可能多的域名信息，以最大限度地发挥放大效果。通过使用僵尸网络，攻击者可以毫不费力地生成大量虚假 DNS 查询。此外，由于响应是来自有效服务器的合法数据，因此很难防止 DNS 放大攻击。

二、攻击方式与特点

（一）攻击原理剖析

在 DNS 放大攻击中，攻击者利用了域名系统服务器的漏洞，巧妙地将小查询转化为大负载，对目标服务器发起攻击。具体过程如下：攻击者首先控制一个由大量被感染计算机组成的僵尸网络。然后，利用这些被控主机，将具有欺骗性 IP 地址的 UDP 数据包发送到 DNS 递归服务器。这里的欺骗地址被设置为指向受害者的真实 IP 地址。每个 UDP 数据包都会向 DNS 解析器发出请求，通常会传递一个参数（例如 “ANY”），以接收最大的响应。DNS 解析器在收到请求后，会尝试提供帮助，向欺骗的 IP 地址发送较大的响应。这样，目标服务器的 IP 地址就会收到响应，并且周围的网络基础架构会被大量的流量淹没，从而导致拒绝服务。

（二）攻击特点呈现

DNS 放大攻击具有非对称、反射攻击等特点。首先，它是一种非对称的 DDoS 攻击。攻击者向外发出带有虚假目标 IP 的较小的查询请求，使得被欺骗目标成为更大 DNS 响应的接收者。通过这种方式，攻击者可以从更少的资源中获取更多收益。同时，它也是一种反射攻击，攻击者操纵可公开访问的域名系统，用大量 UDP 包淹没一个特定目标。利用各种放大技术，攻击者可 “放大” 这些 UDP 包的规模，使攻击变得强大，甚至可以破坏最强大的互联网基础设施。此外，DNS 放大攻击通过持续消耗带宽容量使网络饱和。例如，攻击者查询尽可能多的域名信息，以最大限度地发挥放大效果。通过使用僵尸网络，攻击者可以生成大量虚假 DNS 查询，大量的响应数据会瞬间涌向被攻击主机，耗尽其资源，导致无法提供正常服务甚至瘫痪。据搜索到的素材显示，研究人员发现 DNS 攻击造成的平均损失约为 95 万美元，可见其危害之大。

三、影响与案例

（一）攻击影响广泛

DNS 放大攻击对网络基础设施、企业和个人都有着广泛而严重的影响。对于网络基础设施而言，大量的虚假流量会使网络变慢甚至产生不存在的连接，导致网络拥堵，破坏网络的稳定性和可用性。服务器在遭受攻击时，会被大量的 DNS 响应所淹没，资源被耗尽，无法为用户提供正常服务，甚至可能导致服务器瘫痪。对于企业来说，攻击可能导致内部应用程序停机，影响业务的正常运转，造成严重的经济损失。例如，根据搜索到的素材，电信服务、云服务供应商因攻击服务被中断，不满意的使用用户可能会转向拥有更可靠网络的竞争对手，从而导致严重的品牌损失和客户流失。对于个人用户，攻击可能会导致无法正常访问互联网，影响日常的工作、学习和娱乐。

（二）实际案例分析

以 Nexusguard 的研究报告为例，在过去三个月里，DNS 放大攻击增加了 1000％。Nexusguard 每年评估全球数千起攻击，而 DNS 放大攻击在上一季度就占了 65％以上。在调查的所有攻击中，有近 50％来自 Windows 设备，而 iOS 驱动的移动设备约占 20％。本季度的平均攻击持续时间超过 3 小时，最长的一次持续了 28 天。超过 35％的攻击来自美国或中国，越南和俄罗斯排在第三和第四位。三季度移动设备 DNS 放大攻击同比翻倍，iOS 设备远超 Android。移动设备仍然是攻击流量的重要来源，其中 41％的攻击来自移动网关，而四分之三的流量来自 iOS 设备。此外，物联网设备也继续受到攻击者的攻击和使用。从这些案例可以看出，DNS 放大攻击的增长趋势迅猛，攻击来源广泛，持续时间长短不一，给网络安全带来了巨大的挑战。

四、防御对策探讨

（一）企业层面措施

企业可以采取多种措施来降低 DNS 放大攻击的风险。首先，采用更严格的访问控制是关键一步。企业可以使用多因素或双因素身份验证，确保在所有相关账户上激活 MFA 并遵守适当的密码卫生规则。据统计，87% 的受访者曾受到 DNS 攻击的影响，因此 CISA 建议公司及时更改所有可用于更改 DNS 记录的账户的密码，包括公司管理的 DNS 服务器软件上的账户、管理该软件的系统、DNS 运营商的管理面板和 DNS 注册商账户。
部署零信任方案也越来越受欢迎。零信任方法可以根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限，提供一个安全且有弹性的环境，具有更大的灵活性和更好的监控。例如，Gartner 建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险：零信任网络访问 (ZTNA) 和基于身份的网络分段，限制攻击者在网络中横向移动的能力。
此外，企业应检查拥有和管理的所有域名，确保名称服务器引用正确的 DNS 服务器。检查所有权威和辅助 DNS 服务器上的所有 DNS 记录，一旦发现任何差异和异常，应立即将其视为潜在的安全事件进行调查。

（二）基础设施层面策略

在互联网基础设施层面，也有多种防御策略可以应对 DNS 放大攻击。减少开放 DNS 解析器的总数至关重要。理想情况下，DNS 解析器应仅向源自受信任域名的设备提供服务。在基于反射的攻击中，开放 DNS 解析器将响应来自互联网任何位置的查询，有可能被利用。因此，限制 DNS 解析器，使其仅响应来自受信任来源的查询，可使服务器无法被用于任何类型的放大攻击。
源 IP 验证也是一种有效的防御手段。由于攻击者僵尸网络发送的 UDP 请求必须有一个伪造为受害者 IP 地址的源 IP 地址，互联网服务提供商（ISP）拒绝带有伪造 IP 地址的所有内部流量，可以降低基于 UDP 的放大攻击的有效性。如果一个从网络内部发送的数据包带有一个看起来像来自网络外部的源地址，那么它就有可能是伪造数据包并可被丢弃。
配置 Web 应用防火墙也能起到一定的防御作用。正确配置防火墙和网络容量，过滤掉异常的 DNS 流量，比如源端口为 53 的 UDP 包，或者大小超过 512 字节的 DNS 响应包。同时，增大链路带宽，提高网络抗压能力，减少因为流量过载而造成的服务中断。使用 DDoS 防御产品，将入口异常访问请求进行过滤清洗，然后将正常的访问请求分发给服务器进行业务处理。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。