天下数据客服中心

 

美国服务器优惠信息

美国服务器租用

热门产品推荐

香港服务器租用

DNS放大攻击的工作原理以及防御措施?

DDOS分布式拒绝服务,主要是针对目标系统的恶意网络攻击行为,导致被攻击者的业务无法正常访问。相信各位站长对于DDOS已经是耳熟能详,倒背如流了的境界了,但是对于不和网络相关工作的人员或者是一些企业网站运维人员就不见得可以分辨出DDOS的攻击类型。

DNS放大攻击的操作流程以及防御措施

DNS放大攻击与NTP放大攻击是相似的,但相比NTP放大频率DNS放大频率更高。一般攻击者会利用僵尸网络中的被控主机伪装成被攻击主机,然后设置成特定的时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,然后让其提供应答服务,应答数据经DNS服务器放大后发送到被攻击主机,形成大量的流量攻击,耗尽服务器的资源,导致其无法提供正常服务甚至瘫痪。

DNS放大攻击工作原理:

DNS放大是一种分布式拒绝服务 (DDoS) 攻击,其中,攻击者利用域名系统 (DNS) 服务器中的漏洞,将最初很小的查询变成较大的负载,达到其破坏受害者服务器的目的。 DNS 放大是一种反射攻击,它通过操纵可公开访问域名系统,用大量UDP包淹没一个特定目标。利用各种放大技术,攻击者可”放大”这些UDP包的规模,使攻击变得强大,甚至可以破坏最强大的互联网基础设施。

DNS放大是一种非对称的 DDoS攻击,其中,攻击者向外发出带有虚假目标IP的较小的查询请求,使得被欺骗目标成为更大DNS响应的接收者。利用这些攻击,攻击者达到其目的:通过持续消耗带宽容量而使网络饱和。

你需要保证手边有能够与你的ISP随时取得联系的应急电话号码。这样,一旦发生这种攻击,你可以马上与ISP联系,让他们在上游过滤掉这种攻击。要识别这种攻击,你要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。这样,你的ISP很可能在你发现这种攻击之前就发现和避免了这种攻击。

最后,为了阻止恶意人员使用你的DNS服务器作为实施DNS放大攻击的代理,你要保证你可以从外部访问的DNS服务器仅为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。大多数主要DNS服务器拥有限制循环查询的能力,因此,它们仅接受某些网络的查询,比如你自己的网络。通过阻止利用循环查询装载大型有害的DNS记录,你就可以防止你的DNS服务器成为这个问题的一部分。

DNS放大攻击的防御措施:

1.正确配置防火墙和网络容量;

2.增大链路带宽;

3.限制DNS解析器仅响应来自可信源的查询或者关闭DNS服务器的递归查询;

4.使用DDoS防御产品,将入口异常访问请求进行过滤清洗,然后将正常的访问请求分发给服务器进行业务处理。

最近金融方面的一些小型企业用户对天下数据反映说遭到了DDoS攻击,因此建议这类客户对自己的网络基础设施进行全方面的排查,安装最新补丁。对服务器各个协议的配置进行排查,禁用可能会被攻击工具利用的服务。提前做好防护,避免潜在危险。

本文链接:https://www.idcbest.com/cloundnews/11007333.html



天下数据手机站 关于天下数据 联系我们 诚聘英才 付款方式 帮助中心 网站备案 解决方案 域名注册 网站地图

天下数据18年专注海外香港服务器、美国服务器、海外云主机、海外vps主机租用托管以及服务器解决方案-做天下最好的IDC服务商

《中华人民共和国增值电信业务经营许可证》 ISP证:粤ICP备07026347号

朗信天下发展有限公司(控股)深圳市朗玥科技有限公司(运营)联合版权

深圳总部:中国.深圳市南山区深圳国际创新谷6栋B座10层 香港总部:香港上環蘇杭街49-51號建安商業大廈7樓

7×24小时服务热线:4006388808香港服务电话:+852 67031102

本网站的域名注册业务代理北京新网数码信息技术有限公司的产品

工商网监图标