Akamai检测到超过400起利用DNSSEC协议的反射DDoS攻击

移动开发
一名攻击者将一个“损坏的网络包”发送到服务器,然而之后它会被发送回另一个用户(即攻击的受害者)。该网络包会滥用一个特定的协议,借助于各种缺陷,其可放大自身的数量,有时×2、有时×10(甚至还有将攻击增强200倍的)。

Akamai是一家大型互联网CDN服务提供商,然而根据其最新的DDoS趋势报告,发现利用DNSSEC协议的这类攻击已经更加猖獗。DNSSEC是“域名系统安全扩展”的简称,作为DNS协议的扩展,其包括了诸多保护DNS认证和数据完整度的安全特性(因此叫它DNS+security也行),然而“反射DDoS”也在滥用DNSSEC协议。

 

业内也将反射DDoS称作R-DDoS、DRDoS或“分布式反射拒绝服务攻击”。去年8月份的时候,我们曾深入解析过诸多借助BitTorrent相关协议的“杠杆传播”,但其背后的原理其实很简单。

一名攻击者将一个“损坏的网络包”发送到服务器,然而之后它会被发送回另一个用户(即攻击的受害者)。该网络包会滥用一个特定的协议,借助于各种缺陷,其可放大自身的数量,有时×2、有时×10(甚至还有将攻击增强200倍的)。

根据Akamai的报告,自2015年11月起,该公司已经遭遇并缓解了超过400起DDoS反射攻击。攻击者主要使用了.gov的域名,这归咎于美国法规必须支持DNSSEC。

 

尽管DNSSEC可以防止域名被劫持,但它却无法阻挡反射DDoS攻击,而攻击者们显然都看到了这个薄弱点,更别提它是标准DNSSEC响应的很大一块了(除了域名和许多认证类相关数据之外)。

Akamai SIRT(安全情报响应小组)表示:攻击者没有做什么特殊的事情,他们用的还是同样的DDoS工具包,因为DNS解析器仍然开放着。问题的关键是他们请求了DNSSEC的域名(通常为a.gov之类,修改为DNS请求的受害者IP,而不是他们自己的)。

开放的DNS解析器会将它翻译成一个IP,通过额外的DNSSEC请求数据来阻塞响应,然后将它发送回受害者IP。

 

标准DNS响应大小为512字节(bytes),而附带各种配置的DNSSEC甚至能够达到4096字节。这意味着DNSSEC反射DDoS攻击的放大系数,有时甚至能达到8×。

鉴于线上有3200万开放DNS解析器(其中有2800万被认为是受漏洞影响的),攻击者很容易就找到利用它们的方法。

Akamai的报告称,DNSSEC反射DDoS攻击的有记录峰值数据为123.5Gbps,其中超半数都是针对游戏行业的(其次是金融领域)。

好消息是,只需对ALCs进行一些优化,开放DNS解析器能够防止服务被反射DDoS攻击所滥用。

 

责任编辑:李英杰 来源: cnBeta.COM
相关推荐

2015-03-02 11:08:02

2016-03-28 09:43:49

2019-05-13 10:42:53

2022-04-28 06:22:32

DDoS攻击网络攻击网络安全

2015-08-21 19:01:12

2016-06-13 09:27:42

2010-09-16 20:45:14

2021-09-01 09:34:11

恶意攻击恶意软件木马

2011-08-10 09:13:22

2016-10-09 10:05:32

2015-03-11 15:58:17

2017-03-23 13:44:39

2014-03-14 09:36:19

2015-02-05 11:16:07

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2015-08-26 11:26:32

2014-04-30 13:57:41

2010-04-20 10:14:24

DNSSEC协议域名

2013-05-20 10:02:56

2012-10-22 10:35:06

点赞
收藏

51CTO技术栈公众号