如今看来服务器被DDOS流量攻击,特别近几年出现DNS流量攻击的现象越来越多,DNS受众较广,存在漏洞,容易遭受到攻击者的利用,关于DNS流量攻击的详情,我们来大体的分析一下,通过我们SINE安全这几年的安全监控大数据来看清DNS的攻击。一种是DNS路由劫持攻击,一种是DNS流量放大攻击。
对于劫持性的问题该如何检查呢?使用IIS7的网站检测功能,可以检测网站是否被劫持、域名是否被墙、DNS污染检测、网站打开速度检测、网站是否被黑、被入侵、被改标题、被挂黑等信息,实时的查询网站的安全情况,可以让问题最早的被发现。
DNS缓存攻击以及劫持路由分析
服务器的攻击者会劫持路由进行DNS缓存攻击,当发送一个请求包或者是打开一个网站的时候就会去找就近的路由,简单来说就是网站劫持,打个比方当一个访问者去请求SINE安全官网的时候,中专路由如果被劫持,那么就会把一个不是SINE安全的IP,返回给你,这个IP可以是攻击者恶意构造的,当你不小心访问了,并且输入了用户名以及密码,这些信息都会被攻击者所掌握。也就是密码信息被劫持了。
那么如何来检测这种DNS路由劫持的攻击呢?
在正常的一些情况下,我们的DNS服务器与我们网站域名的解析IP,都是保持同步的,都会一致,当你访问一个网站或者其他域名的时候,发现打开的都是一个页面或者是解析到了一个IP上,基本上就可以断定DNS被劫持了,可以使用域名解析工具来检查问题。
DNS服务器也会有漏洞,一般是在区域传送中发生,目前很多DNS的服务器都被默认的配置成了当有访问请求的时候,会自动返回一个域名数据库的所有信息,造成了可以任意的执行DNS域传送的解析操作,攻击使用的大多数是TCP协议进行传输攻击。
DNS流量攻击英文名也称为DNS Amplification Attack,使用的是回复域名请求数据包加大的方式将请求的流量,进行放大化,明明10G的数据包会放大成100G,数据量越来越大,攻击者的IP也都是伪造的,并反向给受害IP,导致造成DNS流量放大攻击,查看服务器的CPU是否占用到百分之80到99之间,看回复的数据包里的recursion数据是否为1,以及ANT参数的合法值,数据包的大小也可以看出攻击的特征,返回的数据包大于请求数据包。
DNS流量攻击都是使用的攻击者带宽与网站服务器的带宽的差异进行的,当攻击者带宽以及攻击数量加大时,就会对服务器造成影响,发送请求查询数据包,正常发送1个请求,就会放大成10个请求,攻击者的数量越多,流量越大,受攻击的网站以及服务器就承载不了这么大的带宽了。