回溯分析技术：让DNS放大攻击无处可藏！

canglang123

回溯分析技术：让DNS放大攻击无处可藏！ DNS是域名系统（domain name system）的缩写,DNS服务器是域名管理系统，他的作用是把域名转换成网络中计算机可识别的IP。 DNS放大攻击是一种常见的拒绝服务攻击，攻击者利用僵尸网络中大量的被控主机，伪装成被攻击主机，在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求，迫使其提供应答服务，经DNS服务器放大后的大量应答数据发送到被攻击主机，形成攻击流量，导致其无法提供正常服务甚至瘫痪。 本文即是通过科来网络回溯分析系统发现某单位服务器遭受DNS放大攻击的案例。 一、问题描述 XX.XX.29.4为客户的DNS服务器上海某单位的DNS服务器，需要对外提供DNS服务。该客户部署科来网络回溯分析系统后，在可疑域名警报中触发了大量警报。 二、分析过程 发现198.24.157.245（经查为美国IP）在短时间内向XX.XX.29.4服务器发送了大量的DNS请求，请求的域名为dnsamplicationattacks.cc。（DNS Amplification Attacks字面意思就是DNS放大攻击。）                                 登录/注册后可看大图 198.24.157.245发出的请求包为101字节，DNS服务器返回的应答包为445字节，而使通信流量放大了4.4倍。                                 登录/注册后可看大图 攻击者利用大量被控主机向大量的DNS服务器发送DNS请求，但请求中的源IP地址被伪造成被攻击者的IP（在本例中为198.24.157.245），于是DNS服务器会向被攻击者返回查询结果，通常查询应答包会比查询请求包大数倍甚至数十倍（在本例中为4.4倍），攻击者由此将攻击效果扩大了若干倍。从而形成对198.24.157.245地址的流量放大攻击。                                 登录/注册后可看大图 在本例中客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中，攻击过程见下图。                                 登录/注册后可看大图 三、分析结论 攻击者利用大量被控主机在短时间内向大量的DNS服务器（XX.XX.29.4）发送DNS请求，查询应答包会比查询请求包大4.4倍，造成大量流量发送到伪造的源IP地址（198.24.157.245），形成对该IP地址的拒绝服务攻击。

金海

大耳朵