DNS DDoS攻擊類(lèi)型分析
日期:2014-05-28點(diǎn)擊:3317
DNS安全性嚴(yán)重不足,已成為網(wǎng)絡(luò)攻擊鎖定的主要目標(biāo),其中DDoS攻擊的類(lèi)型,主要根據(jù)各種不同協(xié)議或手法的攻擊模式而區(qū)分,方式五花八門(mén),但現(xiàn)在也有人進(jìn)一步歸納,提出較精簡(jiǎn)的分法。
例如,Arbor Networks就這些威脅,簡(jiǎn)單分成下列三大類(lèi):
1. 體積型的攻擊(Volumetric Attacks):對(duì)于大量占用目標(biāo)物或服務(wù)端網(wǎng)絡(luò)帶寬的DDoS攻擊,他們稱(chēng)為體積型的攻擊。
2. TCP狀態(tài)窮盡攻擊(TCP State-Exhaustion Attacks):針對(duì)一些以大量耗用網(wǎng)絡(luò)基礎(chǔ)設(shè)施聯(lián)機(jī)狀態(tài)為主要手法的DDoS攻擊,Arbor Networks稱(chēng)為T(mén)CP狀態(tài)窮盡攻擊。
3. 應(yīng)用層的攻擊(Application-Layer Attacks):針對(duì)網(wǎng)絡(luò)第7層的DDoS攻擊,也就是應(yīng)用層的攻擊,手法較為復(fù)雜、精致,并且行蹤很隱匿,以傳統(tǒng)的流量監(jiān)控較難以做到主動(dòng)、實(shí)時(shí)偵測(cè),更別說(shuō)遇到這類(lèi)攻擊,還能做到實(shí)時(shí)反應(yīng)。
Radware在DNS攻擊分類(lèi)歸納上,則是根據(jù)濫用DNS的方式區(qū)隔,他們提出下列4種:
1. 基本洪水攻擊:這種攻擊會(huì)送出許多DNS請(qǐng)求到DNS服務(wù)器上,企圖耗盡這些服務(wù)器的域名解析器,以及快取數(shù)據(jù)庫(kù)資源。
2. 遞歸式洪水攻擊(Reflective DNS Flood):攻擊者會(huì)對(duì)DNS服務(wù)器,送出并不存在DNS快取數(shù)據(jù)的域名解析請(qǐng)求,增加DNS服務(wù)器與網(wǎng)絡(luò)帶寬的負(fù)擔(dān)。
3. 折射式洪水攻擊(Reflective DNS Flood):許多攻擊者都很喜愛(ài)的攻擊方式之一,也是當(dāng)前最受矚目的攻擊類(lèi)型。折射式DNS洪水攻擊單靠有限的資源,而且不需自行架設(shè)的DNS服務(wù)器,就足以產(chǎn)生巨大的網(wǎng)絡(luò)流量,同時(shí)因?yàn)楫?dāng)中運(yùn)用了偽冒的IP地址,因此受害者難以追蹤那些發(fā)動(dòng)這類(lèi)攻擊的人。
4. 垃圾洪水攻擊(Garbage Flood):這種攻擊會(huì)利用53埠,對(duì)DNS服務(wù)器發(fā)出大量封包,進(jìn)而塞暴服務(wù)器對(duì)外的網(wǎng)絡(luò)聯(lián)機(jī),并且讓DNS名稱(chēng)解析器疲于奔命,也就無(wú)法服務(wù)正常查詢請(qǐng)求。
在上述的DNS折射式洪水攻擊當(dāng)中,還可以同時(shí)運(yùn)用放大攻擊(Amplification Attack)的手法來(lái)推波助瀾。
1. 正常型DNS回復(fù):通常每次域名查詢所回復(fù)的數(shù)據(jù)量,會(huì)是提出請(qǐng)求時(shí)資料的3到4倍。
2. 研究型DNS回復(fù):黑客會(huì)研究DNS服務(wù)器,并且找尋哪些合法查詢能夠?qū)е麓罅炕貜?fù)。有些時(shí)候,數(shù)據(jù)量放大的效果可達(dá)到原始查詢請(qǐng)求的10倍。
3. 精致型DNS回復(fù):攻擊者會(huì)破壞一臺(tái)較不安全的DNS服務(wù)器,并確保他提出的請(qǐng)求所得到的回復(fù)資料量,可達(dá)到DNS封包的上限──4096 bytes。在這種方法下,數(shù)據(jù)量放大的效果可達(dá)到100倍。
