安全通告:众多自建DNS服务器正在陆续遭受DDoS攻击
最近几天,我们的安全团队观测到,陆续有大量园区网自建DNS服务器遭受DDoS攻击。攻击可能会影响DNS的正常服务,甚至导致服务器宕机,对用户的网络造成重大威胁。为了让大家更好地了解这次攻击,共同应对这一威胁,特此发出安全通告。
此次攻击的特点如下:
01
流量均来自外网接口,未观测到本网蠕虫发作。
02
数据量大,通常会超过正常解析量的数十倍。
03
攻击域名相对集中,主要有如下五个域名:
04
攻击时间不集中,陆续攻击不同的园区网DNS服务器。
05
一般而言,自建的DNS服务器都有合法IP的过滤规则,但在此次攻击中,攻击者相对精准的构造DNS请求包来源地址,如构造来自服务器同网段的IP,造成DNS服务器安全策略失效;同时由于这些IP是虚假的,DNS响应服务时又会发出大量ARP请求等待响应,造成DNS服务器瘫痪。
我们的建议
1
DNS管控
通过Panabit设备进行DNS管控,对DNS服务器进行保护:
1. 内网DNS服务器允许访问任意外网。
2. 任意外网访问内网DNS服务器,只允许权威域名的DNS报文通过。
3. 任意外网访问内网DNS服务器,阻断任意域名。
管控策略
2
uRPF
在路由或交换设备上开启uRPF(Unicast Reverse Path Forwarding),防范IP源地址欺骗(IP Spoofing)攻击。
3
DNS服务器设置
对于DNS服务器来说,可以开启相关安全限制功能,减轻DDoS攻击带来的负担。
此外,部分园区网中,权威DNS和递归DNS是同一台服务器,当权威DNS被攻击时,整个服务器都会遭受影响。因此,建议多部署一台DNS服务器,二者分开部署,这样至少可以在类似攻击下,保持网络畅通。
如果您的网络中发现了类似的攻击现象,或是需要任何相关的帮助,可以联系我们:400-773-3996,我们随时为您提供支持。
名词解释
DDoS攻击
DDoS(Distributed Denial of Service)攻击是一种旨在使目标系统无法正常提供服务的恶意行为。在DDoS攻击中,攻击者通过同时向目标系统发送大量的请求,超过其处理能力的上限,从而导致目标系统资源耗尽或负载过高,无法正常响应合法用户的请求,最终导致服务不可用。
DNS攻击
针对DNS的攻击有许多不同类型,以下是常见的几种:
● DNS劫持(DNS Hijacking):攻击者篡改DNS解析结果,将合法的域名解析到恶意IP地址上。这使得用户在输入正确的域名后被导向到欺骗网站,用于钓鱼攻击或恶意软件传播。
● DNS污染(DNS Poisoning):攻击者向DNS服务器发送虚假的DNS响应,将错误的IP地址映射到域名上。这样,当用户尝试访问特定域名时,会被重定向到恶意网站。
● DNS放大(DNS Amplification):攻击者利用支持DNSSEC或反向查询的DNS服务器,发送小量请求,但服务器的回复被放大为大量的流量,用于DDoS攻击。
● DNS拒绝服务(DNS Denial of Service,DNS DoS):攻击者通过向DNS服务器发送大量请求或利用其他漏洞,使DNS服务器无法正常响应合法用户的请求,导致服务不可用。
本文涉及的是DNS拒绝服务攻击。
uRPF
uRPF是一种网络安全技术,用于防范IP源地址欺骗和DDoS攻击。开启uRPF后,路由器或交换机可以验证数据包的源IP地址是否在回程路径中是可达的,从而防止伪造的数据包进入网络。
解决方案&销售咨询
联系我们
往期精选