此ddos攻擊是基於反射的體積分布式拒絕服務(ddos)攻擊,其中攻擊者利用開放式dns解析器的功能,以便使用更大量的流量壓倒目標伺服器或網路,從而呈現伺服器和它周圍的基礎設施無法進入。
所有放大攻擊都利用了攻擊者和目標web資源之間的頻寬消耗差異。當在許多請求中放大成本差異時,由此產生的流量可能會破壞網路基礎設施。通過傳送導致大量響應的小查詢,惡意使用者可以從更少的內容獲得更多。由具有在每個機械人這個倍數乘以殭屍網路進行類似的請求,攻擊者是從檢測既混淆和收穫大大提高了攻擊流量的好處。
dns放大攻擊中的乙個機械人可以被認為是乙個惡意的少年打**給餐館並說「我將擁有一切,請給我回**並告訴我整個訂單。」當餐廳要求時乙個回叫號碼,給出的號碼是目標受害者的**號碼。然後,目標接收來自餐館的**,其中包含許多他們未請求的資訊。
由於每個機械人都要求使用欺騙性ip位址開啟dns解析器,該ip位址已更改為目標受害者的真實源ip位址,然後目標會從dns解析器接收響應。為了建立大量流量,攻擊者以盡可能從dns解析器生成響應的方式構造請求。結果,目標接收到攻擊者初始流量的放大,並且他們的網路被虛假流量阻塞,導致拒絕服務。
dns放大可分為四個步驟:
攻擊者使用受損端點將帶有欺騙性ip位址的udp資料報傳送到dns recursor。資料報上的欺騙位址指向受害者的真實ip位址。
每個udp資料報都向dns解析器發出請求,通常會傳遞諸如「any」之類的引數,以便接收可能的最大響應。
目標的ip位址接收響應,周圍的網路基礎設施因流量氾濫而變得不堪重負,導致拒絕服務。
雖然一些請求不足以取消網路基礎設施,但當此序列在多個請求和dns解析器之間成倍增加時,目標接收的資料放大可能很大。探索有關反射攻擊的更多技術細節。
對於運營**或服務的個人或公司,緩解選項是有限的。這是因為個人的伺服器雖然可能是目標,但卻不會感受到體積攻擊的主要影響。由於產生了大量流量,伺服器周圍的基礎設施會產生影響。internet服務提供商(isp)或其他上游基礎架構提供商可能無法處理傳入流量而不會變得不堪重負。因此,isp可能將所有流量黑洞到目標受害者的ip位址,保護自己並使目標站點離線。除cloudflare ddos保護等非現場保護服務外,緩解策略主要是預防性網際網路基礎設施解決方案。
減少開啟dns解析器的總數
dns放大攻擊的乙個重要組成部分是訪問開放式dns解析器。通過將配置不當的dns解析器暴露給internet,攻擊者需要做的就是利用dns解析器來發現它。理想情況下,dns解析器應僅向源自受信任域的裝置提供其服務。在基於反射的攻擊的情況下,開放的dns解析器將響應來自internet上任何地方的查詢,從而允許利用漏洞。限制dns解析器以使其僅響應來自可信源的查詢使得伺服器成為任何型別的放大攻擊的不良工具。
源ip驗證 - 停止欺騙資料報離開網路
DDoS攻擊介紹,如何防禦DDoS攻擊
分布式拒絕服務攻擊 ddos攻擊 是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。常見的ddos攻擊包括以下幾類 建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅 優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。提供餘...
DDos攻擊 DDos攻擊的本質及攻擊方式
一.利用木桶原理,尋找並利用系統應用的瓶頸 二.阻塞和耗盡 三.當前的問題 使用者的頻寬小於攻擊的規模,造成訪問頻寬成為木桶的短板 不要以為可以防住真正的ddos 好比 藥,一直在 從未見療效 真正海量的ddos可以直接阻塞網際網路 ddos攻擊只針對有意義的目標 如果沒被ddos過,說明確實沒啥值...
DDoS攻擊高階 混合攻擊
高階攻擊者從來不會使用單一的手段進行攻擊,而是根據目標環境靈活組合。普通的syn flood容易被流量清洗裝置通過反向探測 syn cookie等技術手段過濾掉,但如果在syn flood中混入syn ack資料報,使每乙個偽造的syn資料報都有乙個與之對應的偽造的客戶端確認報文,這裡的對應是指源i...