中国领先的IT技术网站
|
|

Akamai检测到超过400起利用DNSSEC协议的反射DDoS攻击

一名攻击者将一个“损坏的网络包”发送到服务器,然而之后它会被发送回另一个用户(即攻击的受害者)。该网络包会滥用一个特定的协议,借助于各种缺陷,其可放大自身的数量,有时×2、有时×10(甚至还有将攻击增强200倍的)。

作者:来源:cnBeta.COM|2016-02-17 10:52

Tech Neo技术沙龙 | 11月25号,九州云/ZStack与您一起探讨云时代网络边界管理实践


Akamai是一家大型互联网CDN服务提供商,然而根据其最新的DDoS趋势报告,发现利用DNSSEC协议的这类攻击已经更加猖獗。DNSSEC是“域名系统安全扩展”的简称,作为DNS协议的扩展,其包括了诸多保护DNS认证和数据完整度的安全特性(因此叫它DNS+security也行),然而“反射DDoS”也在滥用DNSSEC协议。

业内也将反射DDoS称作R-DDoS、DRDoS或“分布式反射拒绝服务攻击”。去年8月份的时候,我们曾深入解析过诸多借助BitTorrent相关协议的“杠杆传播”,但其背后的原理其实很简单。

一名攻击者将一个“损坏的网络包”发送到服务器,然而之后它会被发送回另一个用户(即攻击的受害者)。该网络包会滥用一个特定的协议,借助于各种缺陷,其可放大自身的数量,有时×2、有时×10(甚至还有将攻击增强200倍的)。

根据Akamai的报告,自2015年11月起,该公司已经遭遇并缓解了超过400起DDoS反射攻击。攻击者主要使用了.gov的域名,这归咎于美国法规必须支持DNSSEC。

尽管DNSSEC可以防止域名被劫持,但它却无法阻挡反射DDoS攻击,而攻击者们显然都看到了这个薄弱点,更别提它是标准DNSSEC响应的很大一块了(除了域名和许多认证类相关数据之外)。

Akamai SIRT(安全情报响应小组)表示:攻击者没有做什么特殊的事情,他们用的还是同样的DDoS工具包,因为DNS解析器仍然开放着。问题的关键是他们请求了DNSSEC的域名(通常为a.gov之类,修改为DNS请求的受害者IP,而不是他们自己的)。

开放的DNS解析器会将它翻译成一个IP,通过额外的DNSSEC请求数据来阻塞响应,然后将它发送回受害者IP。

标准DNS响应大小为512字节(bytes),而附带各种配置的DNSSEC甚至能够达到4096字节。这意味着DNSSEC反射DDoS攻击的放大系数,有时甚至能达到8×。

鉴于线上有3200万开放DNS解析器(其中有2800万被认为是受漏洞影响的),攻击者很容易就找到利用它们的方法。

Akamai的报告称,DNSSEC反射DDoS攻击的有记录峰值数据为123.5Gbps,其中超半数都是针对游戏行业的(其次是金融领域)。

好消息是,只需对ALCs进行一些优化,开放DNS解析器能够防止服务被反射DDoS攻击所滥用。

【编辑推荐】

  1. 视频模拟DDoS攻击过程
  2. Google 今发布对抗 DDoS 攻击的防护项目
【责任编辑:李英杰 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Windows Forms 编程实战

本书由浅入深地介绍Windows Forms编程的技巧和各种实用方法。本书先详细介绍了菜单、状态条、可复用类库、文件对话框、文本框、按钮、列表...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× CTO训练营(深圳站)