DNS DDoS攻擊類型分析
日期:2014-05-28點(diǎn)擊:3970
DNS安全性嚴(yán)重不足,已成為網(wǎng)絡(luò)攻擊鎖定的主要目標(biāo),其中DDoS攻擊的類型,主要根據(jù)各種不同協(xié)議或手法的攻擊模式而區(qū)分,方式五花八門,但現(xiàn)在也有人進(jìn)一步歸納,提出較精簡的分法。
例如,Arbor Networks就這些威脅,簡單分成下列三大類:
1. 體積型的攻擊(Volumetric Attacks):對于大量占用目標(biāo)物或服務(wù)端網(wǎng)絡(luò)帶寬的DDoS攻擊,他們稱為體積型的攻擊。
2. TCP狀態(tài)窮盡攻擊(TCP State-Exhaustion Attacks):針對一些以大量耗用網(wǎng)絡(luò)基礎(chǔ)設(shè)施聯(lián)機(jī)狀態(tài)為主要手法的DDoS攻擊,Arbor Networks稱為TCP狀態(tài)窮盡攻擊。
3. 應(yīng)用層的攻擊(Application-Layer Attacks):針對網(wǎng)絡(luò)第7層的DDoS攻擊,也就是應(yīng)用層的攻擊,手法較為復(fù)雜、精致,并且行蹤很隱匿,以傳統(tǒng)的流量監(jiān)控較難以做到主動、實(shí)時(shí)偵測,更別說遇到這類攻擊,還能做到實(shí)時(shí)反應(yīng)。
Radware在DNS攻擊分類歸納上,則是根據(jù)濫用DNS的方式區(qū)隔,他們提出下列4種:
1. 基本洪水攻擊:這種攻擊會送出許多DNS請求到DNS服務(wù)器上,企圖耗盡這些服務(wù)器的域名解析器,以及快取數(shù)據(jù)庫資源。
2. 遞歸式洪水攻擊(Reflective DNS Flood):攻擊者會對DNS服務(wù)器,送出并不存在DNS快取數(shù)據(jù)的域名解析請求,增加DNS服務(wù)器與網(wǎng)絡(luò)帶寬的負(fù)擔(dān)。
3. 折射式洪水攻擊(Reflective DNS Flood):許多攻擊者都很喜愛的攻擊方式之一,也是當(dāng)前最受矚目的攻擊類型。折射式DNS洪水攻擊單靠有限的資源,而且不需自行架設(shè)的DNS服務(wù)器,就足以產(chǎn)生巨大的網(wǎng)絡(luò)流量,同時(shí)因?yàn)楫?dāng)中運(yùn)用了偽冒的IP地址,因此受害者難以追蹤那些發(fā)動這類攻擊的人。
4. 垃圾洪水攻擊(Garbage Flood):這種攻擊會利用53埠,對DNS服務(wù)器發(fā)出大量封包,進(jìn)而塞暴服務(wù)器對外的網(wǎng)絡(luò)聯(lián)機(jī),并且讓DNS名稱解析器疲于奔命,也就無法服務(wù)正常查詢請求。
在上述的DNS折射式洪水攻擊當(dāng)中,還可以同時(shí)運(yùn)用放大攻擊(Amplification Attack)的手法來推波助瀾。
1. 正常型DNS回復(fù):通常每次域名查詢所回復(fù)的數(shù)據(jù)量,會是提出請求時(shí)資料的3到4倍。
2. 研究型DNS回復(fù):黑客會研究DNS服務(wù)器,并且找尋哪些合法查詢能夠?qū)е麓罅炕貜?fù)。有些時(shí)候,數(shù)據(jù)量放大的效果可達(dá)到原始查詢請求的10倍。
3. 精致型DNS回復(fù):攻擊者會破壞一臺較不安全的DNS服務(wù)器,并確保他提出的請求所得到的回復(fù)資料量,可達(dá)到DNS封包的上限──4096 bytes。在這種方法下,數(shù)據(jù)量放大的效果可達(dá)到100倍。
