DNS 服务器欺骗请求放大 DDoS：威胁与防范(图文)

DNS 服务器欺骗请求放大 DDoS 是一种极具威胁性的网络攻击方式。它利用了攻击者和目标 Web 资源之间的带宽消耗差异，通过发送小的查询却能引发大量的响应，恶意用户从而可以用较少的资源获取更多的攻击效果。
这种攻击方式可以比喻为一个恶意少年打电话给餐馆，要求餐馆回电告知整个订单，而给出的回电号码却是目标受害者的电话号码。每个攻击者控制的机器人都会使用欺骗性 IP 地址打开 DNS 解析器，该 IP 地址被更改为目标受害者的真实源 IP 地址，这样目标就会从 DNS 解析器接收大量响应。
DNS 放大可分为四个步骤。首先，攻击者使用受损端点将带有欺骗性 IP 地址的 UDP 数据包发送到 DNS recursor，数据包上的欺骗地址指向受害者的真实 IP 地址。接着，每个 UDP 数据包向 DNS 解析器发出请求，通常会传递诸如 “ANY” 之类的参数，以接收可能的最大响应。然后，DNS 解析器在收到请求后，向欺骗的 IP 地址发送大量响应。最后，目标的 IP 地址接收响应，周围的网络基础设施因流量泛滥而变得不堪重负，导致拒绝服务。
虽然一些请求可能不足以破坏网络基础设施，但当此序列在多个请求和 DNS 解析器之间成倍增加时，目标接收的数据放大可能会很大。例如，有研究表明，通过这种攻击方式，流量放大约 8 倍的情况并不罕见。这种攻击方式使得目标服务器和它周围的基础设施无法进入，给网络安全带来了严重的挑战。

二、攻击原理与过程

（一）攻击原理剖析

所有放大攻击之所以能够成功，关键在于攻击者巧妙地利用了攻击者和目标 Web 资源之间的带宽消耗差异。恶意用户通过发送小查询，却能获得大量的响应，这就如同以小博大。例如，在 DNS 放大攻击中，恶意用户就像是一个精明的投资者，用少量的投入（小查询）获取巨大的回报（大量响应）。
当恶意用户利用僵尸网络时，攻击流量会被极大地放大。僵尸网络中的每个僵尸程序都发出相似的请求，这种倍增效应使得攻击者既不容易被检测到，又能从大大增加的攻击流量中受益。据统计，一个由数千个僵尸节点组成的僵尸网络，能够在短时间内产生数倍甚至数十倍于正常网络流量的攻击流量。

（二）攻击步骤详解

1. 在第一步中，攻击者使用受损端点将带有欺骗性 IP 地址的 UDP 数据包发送到 DNS recursor。这些受损端点可能是被恶意软件感染的计算机或设备，它们在攻击者的控制下，将数据包上的欺骗地址准确地指向受害者的真实 IP 地址。这就像是一支秘密部队，悄悄地将虚假的信息传递到目标的附近。

2. 接着，每个 UDP 数据包向 DNS 解析器发出请求，并且通常会传递诸如 “ANY” 之类的参数，目的是为了接收可能的最大响应。这个参数就像是一把钥匙，打开了获取大量响应的大门。

3. 当 DNS 解析器收到请求后，会尝试通过响应来提供帮助。它向欺骗的 IP 地址发送大量响应，这些响应的流量远远超过了初始的请求流量。就如同一个慷慨的给予者，却不知道自己正在被攻击者利用。

4. 最后，目标 IP 地址接收响应，周围的网络基础设施因流量泛滥不堪重负，导致拒绝服务。大量的虚假流量涌入目标，使得网络拥堵，正常的服务无法进行。这就像是一场突如其来的洪水，淹没了整个网络。

三、案例分析

（一）经典案例展示

在某运营商枢纽节点 DNS 网络遭受攻击事件中，防火墙会话数接近饱和，绿盟科技 ADS 产品报警有 DDoS 攻击告警，域名解析延时增大，严重影响了 DNS 业务的正常运行。
攻击现象主要是攻击源向枢纽节点 DNS 发送大量小字节的针对美国黑客网站 defcon.org 域名的 ANY 查询请求，从而使得 DNS 服务器返回大量大字节的数据包，导致 DNS 网络中防火墙会话数接近饱和，消耗大量 DNS 服务器的资源，正常的解析请求延时增大，解析成功率降低。攻击源大部分来自运营商某范围内的互联网专线 IP。
处理过程如下：绿盟科技服务团队接报后启动应急响应机制，启动相关分析及数据汇总和 ADS 流量牵引注入工作，并持续监测攻击变化调整监测阀值。通过调整域名专项防护设备的 UDP 检测阀值，对攻击流量进行清洗，同时在域名专项防护系统开启模式匹配策略，对查询 Defcon.org 的域名的源 IP 的请求进行丢弃。最终，在流量清洗和模式匹配的防护下，某运营商其 DNS 域名解析恢复正常。

（二）新漏洞影响

新的 DNS 安全漏洞 NXNSAttack 是由以色列网络安全研究人员发现的。其攻击过程如下：攻击者作为客户端，向解析器发出查询 rand123.sub.attacker.com 的 IP 地址；解析器向攻击者控制的权威域名服务器发出查询；攻击者控制权威域名服务器，应答好多个 rand x.vitcim.com 假冒的 NS 记录，指向受害者的域名；解析器根据返回的 NS 记录向受害者权威域名服务器做出查询，大大占用受害者的资源，形成放大攻击，可造成 DDoS 攻击。
NXNSAttack 攻击的核心是放大器，放大器由 2 个攻击者组件和一个递归解析器来构成。2 个攻击者组件是一个客户端和一个授权的 name-server。攻击者需要发起多个到授权服务器授权的域名的子域名的请求，这些伪造的请求要有不同的子域名来确保不在解析器的缓存中，这样就可以让解析器与攻击者授权服务器通信来解析查询的子域名。攻击者授权的 name server 就会返回 n 个含有 name server 名的 NS 转发响应，但是其中不含对应的 IP 地址。这就使得解析器可以对响应中的每个开始一个解析查询。
该漏洞影响 ISC BIND、NLnet Labs Unbound、微软、Cloudflare、Amazon 等多个 DNS 服务商，其中部分厂商为该漏洞发布了 CVE 编号，包括 CVE-2020-8616、CVE-2020-12662、CVE-2020-12667。研究人员在测试过程中发现，对每个请求和对应的 75 个 referral 包，受害者需要处理 81428 个包，约 14126945 字节。与 NXDomain 攻击相比，NXNSAttack 攻击更加高效，放大倍数达到了递归解析器交换的包数的 1620 倍，此外，由于恶意缓存的影响，攻击还会影响 NS 解析器缓存。

四、防范措施

（一）减少开放 DNS 解析器

减少开放 DNS 解析器的总数对于防范 DNS 服务器欺骗请求放大 DDoS 攻击至关重要。开放的 DNS 解析器就像是一扇没有关好的门，攻击者很容易找到并利用它。如果配置不当的 DNS 解析器暴露在互联网上，攻击者只需发现它，就能发动攻击。理想情况下，DNS 解析器应仅向源自受信任域的设备提供服务。对于基于反射的攻击，开放的 DNS 解析器将响应来自互联网上任何位置的查询，这就使其成为了攻击者的理想目标。限制 DNS 解析器，使其仅响应来自可信源的查询，能够使服务器对于任何类型的放大攻击都不那么容易被利用。这样可以大大降低攻击成功的可能性。

（二）源 IP 验证

Internet 服务提供商拒绝内部流量欺骗 IP 地址是降低基于 UDP 的放大攻击有效性的关键因素。在 DNS 服务器欺骗请求放大 DDoS 攻击中，攻击者的僵尸网络发送的 UDP 请求必须具有欺骗到受害者 IP 地址的源 IP 地址。如果从网络内部发送的数据包的源地址使它看起来像是起源于网络外部，则它很可能是欺骗性数据包，可以被丢弃。例如，Cloudflare 强烈建议所有提供商实施入口过滤，以防止不知不觉地参与 DDoS 攻击。通过源 IP 验证，可以有效地阻止欺骗数据包离开网络，减少攻击流量对目标服务器的影响。

（三）配置 Web 应用防火墙

Web 应用防火墙在防御 DDoS 攻击中起着重要作用。Web 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略的一款产品。例如，腾正 WAF（Web 应用防火墙）基于云安全大数据能力，用于防御 SQL 注入、XSS 跨站脚本、常见 Web 服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP 常见攻击，并过滤海量恶意 CC 攻击。在 DNS 服务器欺骗请求放大 DDoS 攻击中，Web 应用防火墙可以检测和阻断异常流量，避免网站资产数据泄露，保障网站业务的安全与可用性。它就像是一道坚固的城墙，保护着网站免受各种攻击的威胁。

五、总结与展望

DNS 服务器欺骗请求放大 DDoS 攻击是一种极具破坏力的网络攻击手段，它利用了 DNS 系统的特性，通过欺骗和放大流量，使目标服务器和网络基础设施陷入瘫痪。这种攻击不仅会给企业和个人带来巨大的经济损失，还会影响整个互联网的稳定和安全。
从攻击原理来看，攻击者巧妙地利用了带宽消耗差异，通过发送小查询引发大量响应，实现了以小博大的攻击效果。僵尸网络的参与更是让攻击流量呈指数级增长，给防御带来了极大的挑战。
在防范措施方面，减少开放 DNS 解析器、进行源 IP 验证以及配置 Web 应用防火墙等手段都能在一定程度上降低攻击风险。限制 DNS 解析器仅响应来自可信源的查询，可以减少攻击的入口；源 IP 验证能够阻止欺骗数据包离开网络，减少攻击流量；Web 应用防火墙则可以检测和阻断异常流量，保护网站安全。
然而，尽管我们有这些防范措施，但 DNS 服务器欺骗请求放大 DDoS 攻击仍然存在。随着技术的不断发展，攻击者也在不断创新攻击手段，使得防范工作变得更加困难。例如，新的漏洞不断出现，如 NXNSAttack 漏洞，给 DNS 安全带来了新的威胁。
未来，我们需要持续关注 DNS 安全领域的发展，不断改进防范手段。一方面，互联网服务提供商、企业和个人都应该加强对 DNS 系统的安全管理，定期检查和更新 DNS 服务器的配置，及时修复漏洞。另一方面，研究人员需要不断探索新的防范技术，如人工智能和机器学习在 DDoS 攻击检测中的应用，提高防御的效率和准确性。
总之，DNS 服务器欺骗请求放大 DDoS 攻击是一个严重的网络安全问题，我们必须高度重视，采取有效的防范措施，共同维护互联网的安全和稳定。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。