揭秘 DNS 放大攻击：攻击者伪造的神秘地址(图文)

DNS 放大攻击是一种利用 DNS 协议特性进行的分布式拒绝服务攻击方式。它通过伪造源 IP 地址和利用开放 DNS 解析器来放大攻击流量，对目标服务器造成严重的影响。
与其他放大类攻击相同，DNS 放大是一种反射攻击。在这种情况下，反射是通过一个 DNS 解析器诱发一个响应到一个虚假的 IP 地址上。在 DNS 放大攻击期间，攻击者将一个伪造的 IP 地址（受害者的）发送到一个开放的 DNS 解析器中，促使它使用 DNS 响应回复该地址。无数的伪造查询被发送出去，并且有若干 DNS 解析器同时回复，受害者的网络很容易被大量的 DNS 响应所淹没。
DNS 协议中，DNS 请求通常是小数据包，而某些响应（特别是 ANY 查询）可能会返回大量数据。开放 DNS 解析器是配置为接受来自任何 IP 地址的 DNS 请求的服务器，这种服务器不会对请求的来源进行验证，因此任何人都可以向它们发送查询。攻击者通过伪造 DNS 请求的源 IP 地址，使其看起来像是目标 IP 地址，当 DNS 解析器发送响应时，它将响应发送到目标 IP 地址，而不是攻击者的 IP 地址。
为了放大 DNS 攻击，可利用 EDNS0 DNS 协议扩展发送每个 DNS 请求，这样可允许产生较大的 DNS 信息，或利用 DNS 安全扩展 (DNSSEC) 的加密功能扩大信息的规模。也可以使用类型为”ANY” 的欺骗查询，可以在单个请求中返回有关 DNS 区域的所有已知信息。通过上述和其他的方法，可以配置约 60 字节的 DNS 请求信息，向目标服务器诱发一个超过 4000 字节的响应信息，从而达到 70：1 的放大倍数。这大幅增加了目标服务器接收到的流量，从而加速了服务器资源的枯竭。
此外，DNS 放大攻击通常通过一个或多个僵尸网络转发 DNS 请求，极大增加了针对目标服务器的攻击流量，并使其很难追踪攻击者的身份。

二、DNS 放大攻击原理

1. 利用 DNS 协议特性

• • DNS 响应数据包往往比请求数据包大得多。攻击者巧妙地利用了这一特性，发送较小的 DNS 查询请求，却能诱导 DNS 服务器返回大量响应数据。例如，一个简单的 DNS 查询请求可能只有几十字节，但某些响应（特别是 ANY 查询）可能会返回大量数据，甚至达到几百到几千字节不等。

• • 这种特性为攻击者提供了可乘之机，他们可以通过发送大量小请求，引发 DNS 服务器的大规模响应，从而实现攻击效果的放大。

2. 伪造源 IP 地址

• • 攻击者将查询请求的源 IP 地址设置为受害者的 IP 地址。这一步骤至关重要，因为当 DNS 服务器响应查询时，大量响应数据包会被发送到这个伪造的 IP 地址，也就是受害者的 IP 地址。

• • 例如，攻击者就像一个恶意的人，通过伪造 IP 地址，让受害者无端承受大量不必要的 DNS 响应数据包。就好比一个恶意少年打电话给一家餐馆，说 “我下单了，请给我回电话确认下我的订单”，当餐馆要求提供回叫号码时，这个恶意的少年给出的号码就是目标受害者的电话号码。然后，目标接收来自餐馆的电话，其中包含他们未要求的许多信息。

3. 利用开放 DNS 解析器

• • 互联网上存在许多开放的 DNS 解析器，这些解析器允许来自任何源的查询。这意味着攻击者可以轻松地利用这些解析器来放大攻击流量。

• • 开放的 DNS 解析器不会对请求的来源进行验证，因此任何人都可以向它们发送查询。对于基于反射的攻击，开放的 DNS 解析器将响应 Internet 上任何位置的查询，从而有可能被利用。理想情况下，DNS 解析器应仅向源自受信任域的设备提供服务。

4. 僵尸网络

• • 攻击者控制僵尸网络，同时向多个 DNS 服务器发送伪造查询请求。这进一步放大了攻击效果。

• • 一个 DNS 放大攻击中的单个机器人就好比一个恶意少年打电话给一家餐馆下单，然后给出受害者的电话号码。当餐馆回电时，受害者就会收到大量未请求的信息。攻击者通过控制僵尸网络中的每个僵尸程序都发出相似的请求，倍增此放大倍数，既不会被检测到，又会从大大增加攻击流量中受益。

三、DNS 放大攻击的危害

1. 带宽占用大量响应数据包占用受害者带宽资源，导致网络访问缓慢或无法访问。

在 DNS 放大攻击中，攻击者利用伪造的源 IP 地址向开放的 DNS 解析器发送大量查询请求。这些解析器会响应查询，并将大量的响应数据包发送到伪造的源 IP 地址，即受害者的 IP 地址。这些大量的响应数据包会占用受害者的带宽资源，使正常的网络访问变得缓慢甚至无法进行。例如，就像一条原本宽敞的道路被大量的车辆堵塞，导致其他正常行驶的车辆难以通过。

2. 资源消耗受害者服务器处理大量无效响应数据包，消耗大量 CPU 和内存资源。

受害者的服务器在接收到这些大量的无效响应数据包后，需要耗费大量的 CPU 和内存资源来处理它们。这就如同一个人被突然强加了大量的工作任务，需要不断地消耗精力去完成，最终可能会导致疲惫不堪。DNS 协议中，响应数据包往往比请求数据包大得多，攻击者正是利用这一特性，诱导 DNS 服务器返回大量响应数据，从而使受害者的服务器陷入资源消耗的困境。

3. 服务中断极端情况下，服务器可能完全瘫痪，无法提供服务。

如果攻击持续进行且强度不断增加，在极端情况下，受害者的服务器可能会完全瘫痪，无法提供任何服务。这就像一个工厂在面对源源不断的无效任务时，最终可能会因为不堪重负而停工。这种服务中断不仅会影响单个用户，还可能对企业、组织甚至整个网络造成严重的影响。例如，企业的网站、邮箱、办公系统等可能会全部瘫痪，给业务带来不可估量的损失。

四、在 DNS 放大攻击中攻击者伪造的地址

攻击者在 DNS 放大攻击中通常伪造受害者的 IP 地址。
DNS 放大攻击利用了 DNS 协议中请求与响应数据包大小的差异。攻击者将查询请求的源 IP 地址设置为受害者的 IP 地址，然后向开放的 DNS 解析器发送大量伪造的查询请求。由于开放的 DNS 解析器不会对请求的来源进行验证，所以会响应这些请求，并将大量的响应数据包发送到伪造的源 IP 地址，也就是受害者的 IP 地址。
例如，就像一个恶意的攻击者伪装成受害者向饭店下单大量外卖，填写受害者的地址作为送餐地址，导致受害者收到大量不属于自己请求的外卖（DNS 响应数据包）。
这种伪造受害者 IP 地址的行为，使得攻击者可以隐藏自己的真实身份，增加了攻击的隐蔽性。同时，大量的响应数据包会占用受害者的带宽资源，消耗受害者服务器的 CPU 和内存资源，在极端情况下甚至可能导致服务器完全瘫痪，无法提供服务。

五、防御 DNS 放大攻击的措施

1. 限制 DNS 递归查询

DNS 服务器应配置为仅响应来自受信任源的递归查询请求。通过禁用不必要的递归查询，可以减少 DNS 服务器被攻击者利用进行放大攻击的风险。例如，可以使用命令如 “dnscmd <ServerName> /Config/NoRecursion {1|0}” 来禁用 Windows Server 中的 DNS 递归功能，或者在 CentOS 中修改 “/etc/named.conf” 配置文件，将 “recursion yes;” 中的 “yes” 改为 “no”。这样可以确保 DNS 服务器只对来自可信任来源的查询进行响应，有效降低被恶意利用的可能性。

2. 过滤伪造 IP 地址

网络服务提供商应部署过滤器，识别和丢弃带有伪造源 IP 地址的数据包。可以利用入侵检测系统（IDS）与反向路径验证（RPF）技术，RPF 通过检查数据包的源地址是否与该 IP 地址的合法路由一致，来判断数据包是否伪造。如果数据包的路径与源 IP 地址不匹配，RPF 可以自动丢弃该数据包，从而有效减少欺骗 IP 的入侵。

3. 增加网络容量

提高网络基础设施的承载能力，应对可能的 DDoS 攻击。增加网络带宽和容量是防御 DDoS 攻击的重要措施之一，包括 DNS 放大攻击。这可以帮助网络在攻击发生时保持正常的工作状态，并保护其免受攻击。例如，可以考虑升级网络设备、增加服务器的处理能力等。

4. 使用 DDoS 防护服务

部署专业的 DDoS 防护服务，实时监测和过滤攻击流量。专业的 DDoS 防护软件可以自动检测和阻止 DDoS 攻击，包括 DNS 放大攻击。常见的 DDoS 防护软件包括 Cloudflare、Akamai 和 Imperva 等。这些软件可以确保网络和服务器保持正常的工作状态。

5. 定期安全审计

对网络基础设施进行安全审计和漏洞扫描，及时发现并修复潜在安全隐患。建议企业检查拥有和管理的所有域名，确保名称服务器引用正确的 DNS 服务器。应该检查所有权威和辅助 DNS 服务器上的所有 DNS 记录，应立即调查发现的任何差异和异常，并将其视为潜在的安全事件。同时，定期监控网络流量可以帮助识别异常活动，借助流量分析工具，网络管理员能够及时发现并响应伪造 IP 地址的流量。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。