DNS DDoS攻击类型分析
日期:2014-05-28点击:3464
DNS安全性严重不足,已成为网络攻击锁定的主要目标,其中DDoS攻击的类型,主要根据各种不同协议或手法的攻击模式而区分,方式五花八门,但现在也有人进一步归纳,提出较精简的分法。
例如,Arbor Networks就这些威胁,简单分成下列三大类:
1. 体积型的攻击(Volumetric Attacks):对于大量占用目标物或服务端网络带宽的DDoS攻击,他们称为体积型的攻击。
2. TCP状态穷尽攻击(TCP State-Exhaustion Attacks):针对一些以大量耗用网络基础设施联机状态为主要手法的DDoS攻击,Arbor Networks称为TCP状态穷尽攻击。
3. 应用层的攻击(Application-Layer Attacks):针对网络第7层的DDoS攻击,也就是应用层的攻击,手法较为复杂、精致,并且行踪很隐匿,以传统的流量监控较难以做到主动、实时侦测,更别说遇到这类攻击,还能做到实时反应。
Radware在DNS攻击分类归纳上,则是根据滥用DNS的方式区隔,他们提出下列4种:
1. 基本洪水攻击:这种攻击会送出许多DNS请求到DNS服务器上,企图耗尽这些服务器的域名解析器,以及快取数据库资源。
2. 递归式洪水攻击(Reflective DNS Flood):攻击者会对DNS服务器,送出并不存在DNS快取数据的域名解析请求,增加DNS服务器与网络带宽的负担。
3. 折射式洪水攻击(Reflective DNS Flood):许多攻击者都很喜爱的攻击方式之一,也是当前最受瞩目的攻击类型。折射式DNS洪水攻击单靠有限的资源,而且不需自行架设的DNS服务器,就足以产生巨大的网络流量,同时因为当中运用了伪冒的IP地址,因此受害者难以追踪那些发动这类攻击的人。
4. 垃圾洪水攻击(Garbage Flood):这种攻击会利用53埠,对DNS服务器发出大量封包,进而塞暴服务器对外的网络联机,并且让DNS名称解析器疲于奔命,也就无法服务正常查询请求。
在上述的DNS折射式洪水攻击当中,还可以同时运用放大攻击(Amplification Attack)的手法来推波助澜。
1. 正常型DNS回复:通常每次域名查询所回复的数据量,会是提出请求时资料的3到4倍。
2. 研究型DNS回复:黑客会研究DNS服务器,并且找寻哪些合法查询能够导致大量回复。有些时候,数据量放大的效果可达到原始查询请求的10倍。
3. 精致型DNS回复:攻击者会破坏一台较不安全的DNS服务器,并确保他提出的请求所得到的回复资料量,可达到DNS封包的上限──4096 bytes。在这种方法下,数据量放大的效果可达到100倍。
