DNS 服务器欺骗请求放大 DDoS：网络安全的隐形威胁(图文)

DNS 服务器欺骗请求放大 DDoS 是一种基于反射的体积分布式拒绝服务攻击。其特点在于利用开放式 DNS 解析器的功能，通过发送小查询却能引发大量响应，从而用更大量的流量压倒目标服务器或网络。
这种攻击方式在网络攻击中具有重要地位。当前，网络犯罪呈上升趋势，DDoS 攻击愈发常见。而 DNS 服务器欺骗请求放大 DDoS 作为其中一种攻击手段，能够对目标服务器及其周围的基础设施造成严重破坏。例如，攻击者利用受损端点将带有欺骗性 IP 地址的 UDP 数据包发送到 DNS 递归器，这些数据包上的欺骗地址指向受害者的真实 IP 地址。每个 UDP 数据包向 DNS 解析器发出请求，通常传递诸如 “ANY” 之类的参数以接收最大响应。DNS 解析器在收到请求后，会向欺骗的 IP 地址发送大量响应，导致目标的 IP 地址接收响应，周围的网络基础设施因流量泛滥而不堪重负，最终造成拒绝服务。
据相关数据显示，当前有一半占比的公司是 DDoS 攻击的受害者，像在线零售商、实时服务公司以及银行等组织都是常见目标。DNS 服务器欺骗请求放大 DDoS 攻击利用了攻击者和目标 Web 资源之间的带宽消耗差异，恶意用户可以从更少的资源中获取更多收益。通过使僵尸网络中的每个僵尸程序都发出相似请求，攻击者既不易被检测到，又能大大增加攻击流量，给目标服务器带来巨大压力。

二、攻击原理及过程

（一）攻击如何工作

DNS 服务器欺骗请求放大 DDoS 攻击巧妙地利用了开放 DNS 解析器的功能以及攻击者与目标 Web 资源之间的带宽消耗差异。攻击者通过发送小的查询请求，却能够引发较大的响应，从而实现以少量资源获取大量流量的目的。恶意用户通过这种方式，能够从更少的资源中获取更多收益。
在整个攻击过程中，攻击者利用僵尸网络中的每个僵尸程序发出相似的请求，这样既可以混淆攻击者的身份，使其不易被检测到，又能大大增加攻击流量。攻击者就像一个恶意少年打电话给餐馆，声称自己下单了并要求回电确认订单，当餐馆要求提供回叫号码时，恶意少年给出的却是目标受害者的电话号码。随后，目标受害者会收到来自餐馆的电话，其中包含许多他们未请求的信息。同样地，由于每个僵尸程序都请求使用欺骗性 IP 地址打开 DNS 解析器，该 IP 地址已更改为目标受害者的真实源 IP 地址，然后目标会从 DNS 解析器接收响应。

（二）攻击步骤详解

1. 攻击者使用受感染的端点将具有欺骗性 IP 地址的 UDP 数据包发送到 DNS 递归。数据包上的欺骗地址指向受害者的真实 IP 地址。这一步骤就像是攻击的导火索，为后续的攻击行动奠定了基础。

2. 每个 UDP 数据包都会向 DNS 解析器发出请求，通常会传递一个参数（例如 “ANY”），以接收最大的响应。这个参数的选择是为了确保从 DNS 解析器获得尽可能大的响应，从而最大化攻击效果。

3. 收到请求后，DNS 解析器通过响应来尝试提供帮助，它向欺骗的 IP 地址发送较大的响应。DNS 解析器在这个过程中被攻击者利用，成为了攻击的工具，向目标受害者发送大量的响应数据。

4. 目标服务器的 IP 地址会收到响应，并且周围的网络基础架构会被大量的流量淹没，从而导致拒绝服务。尽管一些请求可能不足以破坏网络基础设施，但是当此序列跨多个请求和 DNS 解析器进行扩展时，目标接收到的数据放大可能会很大，最终导致拒绝服务。例如，在实际攻击中，目标服务器可能会因为大量的虚假流量而无法正常处理合法的请求，使得网络服务中断，给目标带来巨大的损失。

三、攻击案例分析

（一）GitHub 遭受攻击

2018 年 2 月，流行的在线代码管理服务 GitHub 成为了 DNS 服务器欺骗请求放大 DDoS 攻击的目标。此次攻击以每秒 1.3 太字节（Tbps）的速率传输流量，以每秒 1.269 亿的速率发送数据包。这是一个 memcached DDoS 攻击，攻击者利用了一种称为 memcached 的流行数据库缓存系统的放大效应，将攻击放大约 50,000 倍。幸运的是，GitHub 正在使用 DDoS 保护服务，该服务在攻击开始后的 10 分钟内自动发出警报并触发缓解过程，最终这次攻击只持续了大约 20 分钟。但即便如此，也给 GitHub 的服务带来了一定的影响，可能导致部分开发者在这段时间内无法正常访问代码库、进行协作开发等工作。

（二）2016 Dyn 攻击

2016 年 10 月主要 DNS 提供商 Dyn 遭受攻击。这次攻击造成了破坏，并造成许多主要网站的中断，包括 AirBnB、Netflix、PayPal、Visa、亚马逊、纽约时报、Reddit 和 GitHub 等。这是使用名为 Mirai 的恶意软件完成的，利用受损的物联网（IoT）设备创建僵尸网络。攻击持续了一天时间，虽然 Dyn 能够在一天内解决攻击，但攻击的动机从未被发现。此次攻击给众多知名网站带来了极大的影响，用户无法正常访问这些网站，导致业务中断，造成了巨大的经济损失和用户体验下降。

（三）AWS 服务器遭攻击

AWS 服务器遭 DDoS 攻击，攻击者试图通过垃圾网络流量堵塞系统，造成服务无法访问，攻击持续了 15 个小时。大量数据包阻塞亚马逊的 DNS 系统，影响的不仅是 S3，还会妨碍客户连接到依赖外部 DNS 查询的亚马逊服务，包括亚马逊关系数据库服务（RDS）、简单队列服务（SQS）、CloudFront、弹性计算云（EC2）和弹性负载均衡（ELB）在内的无数网站和应用软件。此次攻击影响范围广泛，给众多依赖 AWS 服务的企业和用户带来了极大的困扰，业务无法正常进行，数据处理和存储受到影响。

（四）V2EX 遭攻击

知名技术创意社区 V2EX 最近连续三天遭到 DDoS 攻击，攻击源来自 200 多个国家 / 地区的 IP，攻击至今尚未停止。网站每分钟受到 1200 万次请求的攻击，每秒多达 10 万 - 20 万次请求。此次攻击给 V2EX 的用户带来了不便，影响了社区的正常交流和讨论，也给创始人带来了很大的压力，必须靠手写防火墙规则来缓解情况，同时 Cloudflare 工程师也正在合作来解决。

四、攻击危害

（一）数据盗窃与财务损失

DNS 服务器欺骗请求放大 DDoS 攻击可能导致敏感数据被盗取，进而引发严重的财务损失。在这种攻击下，目标服务器周围的网络基础设施因流量泛滥而不堪重负，攻击者可以趁机入侵系统，窃取用户的敏感信息，如个人身份信息、银行账号、信用卡信息等。据统计，每年因数据盗窃导致的财务损失高达数十亿美元。例如，攻击者获取用户的银行账号信息后，可能进行非法转账或盗刷信用卡，给用户带来直接的经济损失。同时，企业为了应对数据泄露事件，需要投入大量的资金进行调查、修复系统漏洞以及赔偿用户损失。

（二）声誉损害与品牌蚀刻

攻击对企业声誉和品牌形象有着极大的负面影响。当企业遭受 DNS 服务器欺骗请求放大 DDoS 攻击时，用户可能无法正常访问企业的网站或服务，这会让用户对企业的信任度大幅下降。如果用户的敏感信息在攻击中被泄露，企业的声誉将进一步受损。例如，一家在线购物网站遭受攻击后，用户可能会担心自己的个人信息和支付信息安全，从而选择其他更可靠的购物平台。此外，品牌形象的受损可能会影响企业的市场份额和竞争力，长期来看，企业可能需要花费大量的时间和资源来恢复声誉。

（三）合规与监管问题

这种攻击可能导致企业违反数据保护法律和监管规定。许多国家和地区都有严格的数据保护法规，要求企业采取必要的措施保护用户的个人信息安全。如果企业在遭受 DNS 服务器欺骗请求放大 DDoS 攻击后，用户的个人信息被泄露，企业可能会面临巨额罚款和法律诉讼。例如，欧盟的《通用数据保护条例》（GDPR）对企业的数据保护责任做出了严格规定，一旦企业违反规定，可能面临高达全球年营业额 4% 的罚款。此外，企业还可能需要承担因违反监管规定而带来的其他法律后果，如声誉受损、业务限制等。

（四）系统停机与生产力损失

攻击造成系统停机对企业生产力有着严重的影响。当企业的服务器遭受 DNS 服务器欺骗请求放大 DDoS 攻击时，系统可能会出现停机或运行缓慢的情况，这将导致企业的业务无法正常进行。例如，一家在线服务公司的服务器遭受攻击后，用户无法访问其服务，公司的业务将受到严重影响，可能导致订单减少、客户流失等问题。此外，企业为了恢复系统运行，需要投入大量的时间和人力资源，这也会影响企业的生产力。据统计，一次严重的 DDoS 攻击可能导致企业的生产力损失高达数百万美元。

五、防御对策

（一）评估风险与建立防御体系

企业制定安全策略的第一步应该是明确企业所使用的应用程序及其运行模式，以便识别异常活动并及时作出响应。企业可以建立具有高级缓解功能的可扩展 DDoS 保护系统，具体包括流量监控、自适应实时调节、DDoS 防护遥测、监控和警报、快速响应小组等。通过对网络流量的实时监测，企业能够及时发现异常情况，如流量突然增大等，这可能是 DDoS 攻击的前兆。同时，自适应实时调节功能可以根据攻击的情况自动调整防护策略，确保系统的稳定性。DDoS 防护遥测可以提供详细的攻击数据和分析，帮助企业更好地了解攻击的来源和方式，以便采取更有效的防御措施。监控和警报系统能够及时通知企业相关人员，确保在攻击发生时能够迅速作出反应。快速响应小组则负责在攻击发生时迅速采取行动，进行应急处理，最大限度地减少攻击对企业的影响。

（二）制定响应策略

制定快速响应策略是最有效的防御措施之一，企业可以组建一个明确如何识别、缓解和监测攻击的 DDoS 快速响应团队。这个团队应该包括网络工程师、安全专家、系统管理员等专业人员，他们应该具备丰富的 DDoS 攻击应对经验。在攻击发生时，团队成员能够迅速分工合作，进行攻击的识别、缓解和监测。例如，网络工程师可以负责对网络流量进行分析，确定攻击的来源和方式；安全专家可以制定相应的防护策略，进行攻击的缓解；系统管理员可以负责对系统进行监控，确保系统的正常运行。同时，团队应该定期进行演练，提高应对攻击的能力。

（三）识别潜在风险

通过模拟网络攻击来评估系统安全防御质量、识别潜在的攻击风险，可以清晰知晓系统中存在的安全隐患和问题。当然，这种模拟测试应该是一个渐进的并且逐步深入的过程，不能影响业务系统正常运行。企业可以使用专业的渗透测试工具和技术，模拟 DDoS 攻击的场景，对系统进行全面的测试。通过测试，企业可以发现系统中存在的漏洞和薄弱环节，及时进行修复和加固。例如，企业可以使用 Nmap 等工具进行端口扫描，发现开放的端口和服务，及时进行关闭或限制访问；使用 Wireshark 等工具进行网络流量分析，发现异常的流量和数据包，及时进行拦截和处理。

（四）更改安全策略

强调在遭受攻击后应及时更改安全策略，提高 DDoS 响应策略的有效性。在企业被 DDoS 攻击后，应立刻建立的 DDoS 响应团队或其他专业人员进行攻击调查和攻击后分析，及时溯源，修改安全防御措施。例如，企业可以分析攻击的来源和方式，确定攻击的目标和影响范围，采取相应的措施进行修复和加固。同时，企业应该对安全策略进行全面的审查和评估，发现存在的问题和不足，及时进行调整和完善。例如，企业可以加强对网络访问的控制，限制不必要的访问；加强对用户身份的验证，防止非法用户的登录；加强对系统的监控和管理，及时发现和处理异常情况。

（五）具体防御措施

1. 采用更严格的访问控制，如使用多因素或双因素身份验证。多因素身份验证可以增加攻击者获取系统访问权限的难度，例如除了密码外，还需要输入手机验证码或指纹识别等。据统计，使用多因素身份验证可以降低 90% 以上的账户被盗风险。

2. 部署零信任方案，降低 DNS 威胁。零信任方法越来越受欢迎，部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解 DNS 威胁，根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限，提供一个安全且有弹性的环境，具有更大的灵活性和更好的监控。

3. 检查 / 验证 DNS 记录，确保名称服务器引用正确。企业应检查拥有和管理的所有域名，确保名称服务器引用正确的 DNS 服务器，这一点至关重要。应该检查所有权威和辅助 DNS 服务器上的所有 DNS 记录，应立即调查发现的任何差异和异常，并将其视为潜在的安全事件。

4. 减少打开 DNS 解析器的总数，限制其仅响应来自可信源的查询。限制 DNS 解析器仅响应来自可信源的查询，或者关闭 DNS 服务器的递归查询功能，防止被攻击者利用。减少开放 DNS 服务器的数量也是应对反射放大攻击的有效方式，理想状态下，DNS 服务器只向源自信任域名的设备提供服务。

5. 源 IP 验证，阻止欺骗数据包离开网络。通过在网络边界部署源 IP 验证设备，对离开网络的数据包进行源 IP 地址验证，阻止欺骗数据包离开网络。这样可以有效地防止攻击者利用伪造的 IP 地址进行 DDoS 攻击。

6. 配置 Web 应用程序防火墙，增强网络安全。Web 应用程序防火墙可以对 HTTP/HTTPS 流量进行过滤和监控，阻止恶意的请求和攻击。例如，可以阻止 SQL 注入、跨站脚本攻击等常见的 Web 攻击，同时也可以对 DDoS 攻击进行一定程度的防护。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。