DNS放大攻击为DOS攻击的一种分支类型,攻击者利用僵尸网络中的大量的被控主机,伪装成被攻击主机(IP地址),在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。
-
特点1:攻击者首先要控制多个肉机(发送TYPE类型=255)
-
特点2:发送的数据量远远大于请求数据量
-
特点3:DNS服务器需支持递归查询
从受害者角度看特征:
1.DNS流量占比极高
2.DNS流量包长超过1000B
3.TYPE=255的应答报文较多
4.出现大量IP分片报文 (最大数据报1500字节,以太包1518字节)
如何防范:
-
受害者需要借助运营商
-
肉机,跳板机:首先分析我们的DNS服务器是否递归查询,限制DNS解析器仅响应来自可信源的查询或者关闭DNS服务器的递归查询;或者开启递归查询验证(设置DNS递归查询的权限IP)