让DNS服务器远离疯狂的DDoS攻击

本文讲的是 :   让DNS服务器远离疯狂的DDoS攻击 ,  【IT168 技术】针对DNS的DDoS 攻击(分布式拒绝服务攻击)现已成为比较常见的极具破坏力的互联网攻击方式之一：

　　● 今年1月，国内出现大规模网站无法存取的事件，原因是DNS被劫持。当地用户连到许多以.com与.net为域名的网站时，会被导引到美国Dynamic Internet Technologies公司的IP地址。

　　● 3月初，谷歌提供给大众的公用DNS服务器8.8.8.8，遭到DNS劫持的持续时间长达22分钟，当时所有使用该DNS服务的网络流量都被绑架，传到巴西和委内瑞拉境内。

　　● 3月底、4月初，谷歌DNS服务又发生遭到土耳其网络供货商的拦截事件。对方设立了DNS服务器假装是谷歌DNS，挟持当地的网络联机使用假冒的谷歌DNS。

　　总体而言，DNS攻击事件未来仍将不断发生，而且遭遇的频率将越来越频繁，又很难预防与实时反应。他们是如何实施攻击的?我们又该如何防范呢?

▲服务器被DDoS攻击情景示意图

　　欺骗式攻击

　　利用DNS基础架构来制造DDoS攻击其实相当容易：攻击者向互联网上的域名服务器发送请求，然后域名服务器做出反应。

　　攻击者伪装成目标对象的地址而不是基于自身IP地址来发送请求，这些目标对象包括：网页服务器、路由器、另外一个域名服务器、或者互联网上的任何一个节点。

　　DNS欺骗请求相当容易，因为这些请求通常通过UDP(无连接用户数据报协议)进行传输。从任意IP地址发送DNS请求相当简单，如同在明信片上写上回信地址一样。

　　尽管容易，欺骗请求还不足以使攻击对象瘫痪，如果对这些请求的回应并不比这些请求自身大的话，攻击者将把大量欺骗请求发送到目标对象上。为了最大限度的对目标对象造成伤害，对每个查询应该获得一个非常大的回应，才可以轻松造成影响。

　　采用DNS扩展名机制 (EDNS0)后，DNS自1999年以来得到了极大扩展，基于UDP 的DNS信息已经可以携带大量数据。一个回应便能达到4096个字节，而绝大多数请求则在长度上不超过100 个字节。

　　较早之前，要在互联网Namespace里找到一个较大的回应相对困难，但是现在，各大企业已经开始部署DNSSEC(域名系统安全扩展)，实现较大回应已经变得很容易。DNSSEC将密钥和数字签名存储在Namespace里记录在册，这些都会起到积极作用。

　　现在，充斥网络的图片攻击者正在从你的网页服务器IP地址上向isc.org 域名服务器发送欺骗请求。每个44字节请求，你的网页服务器都会收到4077字节的回应，增大了近93倍。

　　现在让我们快速计算一下，就能知道这种状况有多糟。假设每个攻击者接入互联网的带宽都是1Mbps，每秒他可以发出2840条44字节的请求，那这个请求数据流就会带来近93Mbps的流量送达你的网页服务器，而每11次攻击就会达到1G。

　　那么，那些反社会的攻击者到哪里去找到这10个帮凶来共同完成这次攻击呢?事实上，他们不需要找任何人，他们会用到一种由成千上万台电脑组成的僵尸网络来完成攻击。

　　结果是毁灭性的。在一家DDoS攻击缓解公司Prolexic发布的全球DDoS攻击季报中我们可以看到，最新发现的一个基于DNS的客户受攻击案例，其流量达到了167Gbps，此外，Prolexic 在报告中还指出，DDoS攻击所占用的带宽平均每个季度已经增加了 718 %，达到48Gbps。

　　但是，我们能不能对isc.org域名服务器进行修正，让它能够识别来自同一IP地址的相同数据在不停发送请求呢?难道这些攻击真的无法遏制吗?

　　当然能，但绝非只有isc.org域名服务器才可以被攻击者利用来放大攻击流量，还有其他权威域名服务器，但受此影响最大的要算是开放式递归域名服务器了。

　　开放式递归域名服务器就是一种简单的域名服务器，它可以对任一IP地址发来的递归请求进行处理。我可以把请求 forisc.org的数据发给它，然后它会给我一回应，你也可以做。

　　互联网上不应有太多开放式递归域名服务器。递归域名服务器的作用，就是代表DNS用户在互联网Namespace上查询数据，就如同在笔记本电脑或者智能手机上查询数据那样。通常情况下，网管员建立递归域名服务器，供某一特定群体使用(就像您以及您的团队)。除非这些社区使用的是OpenDNS 和谷歌公共DNS，但设置这样的公共开放式DNS服务，其目的并不是供诸如摩尔多瓦这样的国家来使用。那些具有公众精神、安全意识且能力最强的管理员，可以在他们的递归域名服务器上设置接入控制，以此来限制对授权系统的使用。

　　既然如此，究竟多大的问题，我们才可以启用递归域名服务器呢?答案是很大。Open Resolver Project收集了总共3300万个开放式递归域名服务器的名单。黑客们可以向许多服务器发送欺骗请求，是因为他们更愿意将isc.org数据注入你的网页服务器、域名服务器、边界路由器并最终导致他们瘫痪。

　　以上就是基于DNS的DDoS攻击的工作原理，但谢天谢地，我们还是有一些方法来与它们相抗衡的。　　

原文发布时间为：2015年7月6日

本文作者：Infoblox基础设施副总裁Cricket Li

本文来自云栖社区合作伙伴IT168，了解相关信息可以关注IT1684

原文标题 :让DNS服务器远离疯狂的DDoS攻击