安全通告：众多自建DNS服务器正在陆续遭受DDoS攻击

此次攻击的特点如下：

01

流量均来自外网接口，未观测到本网蠕虫发作。

02

数据量大，通常会超过正常解析量的数十倍。

03

 攻击域名相对集中，主要有如下五个域名：

04

攻击时间不集中，陆续攻击不同的园区网DNS服务器。

05

一般而言，自建的DNS服务器都有合法IP的过滤规则，但在此次攻击中，攻击者相对精准的构造DNS请求包来源地址，如构造来自服务器同网段的IP，造成DNS服务器安全策略失效；同时由于这些IP是虚假的，DNS响应服务时又会发出大量ARP请求等待响应，造成DNS服务器瘫痪。

我们的建议

1

DNS管控

通过Panabit设备进行DNS管控，对DNS服务器进行保护：

1. 内网DNS服务器允许访问任意外网。

2. 任意外网访问内网DNS服务器，只允许权威域名的DNS报文通过。

3. 任意外网访问内网DNS服务器，阻断任意域名。

管控策略

2

uRPF

在路由或交换设备上开启uRPF（Unicast Reverse Path Forwarding），防范IP源地址欺骗（IP Spoofing）攻击。

3

DNS服务器设置

对于DNS服务器来说，可以开启相关安全限制功能，减轻DDoS攻击带来的负担。

此外，部分园区网中，权威DNS和递归DNS是同一台服务器，当权威DNS被攻击时，整个服务器都会遭受影响。因此，建议多部署一台DNS服务器，二者分开部署，这样至少可以在类似攻击下，保持网络畅通。

名词解释

DDoS攻击

DDoS（Distributed Denial of Service）攻击是一种旨在使目标系统无法正常提供服务的恶意行为。在DDoS攻击中，攻击者通过同时向目标系统发送大量的请求，超过其处理能力的上限，从而导致目标系统资源耗尽或负载过高，无法正常响应合法用户的请求，最终导致服务不可用。

DNS攻击

针对DNS的攻击有许多不同类型，以下是常见的几种：

● DNS劫持（DNS Hijacking）：攻击者篡改DNS解析结果，将合法的域名解析到恶意IP地址上。这使得用户在输入正确的域名后被导向到欺骗网站，用于钓鱼攻击或恶意软件传播。

● DNS污染（DNS Poisoning）：攻击者向DNS服务器发送虚假的DNS响应，将错误的IP地址映射到域名上。这样，当用户尝试访问特定域名时，会被重定向到恶意网站。

● DNS放大（DNS Amplification）：攻击者利用支持DNSSEC或反向查询的DNS服务器，发送小量请求，但服务器的回复被放大为大量的流量，用于DDoS攻击。

● DNS拒绝服务（DNS Denial of Service，DNS DoS）：攻击者通过向DNS服务器发送大量请求或利用其他漏洞，使DNS服务器无法正常响应合法用户的请求，导致服务不可用。

本文涉及的是DNS拒绝服务攻击。

uRPF

uRPF是一种网络安全技术，用于防范IP源地址欺骗和DDoS攻击。开启uRPF后，路由器或交换机可以验证数据包的源IP地址是否在回程路径中是可达的，从而防止伪造的数据包进入网络。

解决方案&销售咨询

联系我们

往期精选