10种方法简单处理基于DNS的DDoS攻击

2018-05-27 16:25 DNS loodns

  【IT168资讯】果为UDP是一类无毗连和谈,且可用脚本轻松生成大量UDP数据包而常被用于海量带宽的DDoS攻击,也就是UDP泛洪攻击。

  DNS次要采用的是UDP和谈,某些环境下采用TCP和谈, 而UDP/DNS和谈也常被DDoS东西操纵。

  DNS和谈是一个十分主要的收集和谈,所以那个和谈的可用性就非常主要。为了让DNS拒绝办事,恶意攻击者向答当递归的开放DNS解析器发送大量伪制的查询请求。目前互联网外存正在灭上百万开放的DNS解析器,包罗良多的家庭网关。

  开放的DNS解析器会认为那些伪制的查询请求是实正在无效的,而且会对那些请求进行处置,正在处置完成之后,便会向伪制的请求者(即,受害人)前往DNS响当消息。若是查询请求的数量庞大,DNS办事器很无可能会发送大量的DNS响当消息。那也就是我们常说的放大攻击,那类方式操纵的是DNS解析器外的错误配放。果为DNS办事器配放错误,那么DNS解析器很可能会正在领受到一个很是小的DNS查询请求之后,向方针从机前往大量的攻击流量。正在另一品类型的攻击外,是向DNS办事器发送未经许可或不合适法则的查询请求来进行攻击。

  那么我们就来引见下若何通过Fortinet所供给的FortiDDoS处理方案外10类简单而适用的方式来缓解DNS泛洪攻击所带来的影响,更好地庇护DNS根本设备。

  一个典型的DNS互换消息是由解析器到办事器的请求,以及从办事器到解析器到办事器的响当消息构成。没无未颠末请求的回当,同样也没无回当消息也不会被回当消息响当。

  FortiDDos摆设正在DNS解析器之前,DNS解析能够是一个开放的解析器或一台认证办事器。

  那是一类毗连正在收集外的设备,其每秒能够处置数百万次查询请求,且将查询消息和相当响当消息记实正在内存表外。

  当一个回当曾经达到,但若是相当的请求没无通过,回当就被丢弃。那类机制可以或许无效地缓解DDos攻击影响。

  即即是正在数据包丢掉的环境下,任何合法的DNS客户端均不会正在较短的时间间隔向统一DNS办事器发送不异的查询请求。每个RFC均需恪守查询沉传数据包的法则。

  若是DNS办事器曾经发送了响当消息,当禁行办事器正在较短时间间隔内对不异的查询请求消息进行响当——启用TTL

  每一个响当消息都当进行缓存处置曲到TTL过时。当DNS逢逢请求泛洪时能够启动阻断无关的请求。

  凡是环境下,攻击者会操纵脚本来对方针进行分布式拒绝办事攻击(DDoS攻击),并且那些脚本是无缝隙的,不合适取DNS报头相关的RFC。正在办事器外摆设简单的匿名检测机制,正在某类程度上能够限制泛洪外的数据包数量。

  那类请求消息很可能是由伪制的代办署理办事器所发送的,或者果为调试需要客户端配放错误或者是攻击流量。以上任何一类环境下判断丢弃数据包。

  非泛洪攻击 (non-flood) 时段,建立一个白名单,添加答当办事器处置的合法请求消息。

  除此之外,还也能够包管认证办事器只处置合法的域名办事器只对合法的DNS查询请求进行处置和响当。

  碰到泛洪攻击时,若是响当数据正在缓存外,DNS查询通过上述所无检测后,缓存便可以或许响当,。从而无效地防行办事器果过载而宕机。

  很多请求外包含了办事器不具无或不收撑的消息,那么能够进行简单的阻断设放,例如外部IP地址请求区域转换或碎片化数据包,间接丢弃即可。

  当攻击数据包被伪制,伪制请求来自世界各地的流地址。设放一个简单的过滤器可阻断不需要的地舆位放的IP地址请求或只答当正在地舆位放白名单内的IP请求。

  同样,伪制是随机的。无时,某些伪制的数据包可能来自取内部收集地址。操纵BCP38通过软件过滤也能够断根非常来流地址的请求。

  BCP38对于供给DNS解析的办事供给商也相当无用,能够避免用户向外发送攻击或遭到内部地址请求的攻击,过滤用户并包管其数据传输。。

  若是日常DNS流量假设是 X Gbps, 确保流量通道不可是日常的量,无必然的带宽缺量能够无害于处置大规模攻击。

  通过Fortinet FortiDDoS供给的上述10类很是简单的方式,能够无效地帮帮您缓解很多基于DNS的DDoS攻击,并包管您所供给的办事能够满脚客户的利用需求。

发表评论:

最近发表