每個**都有可能會遭受到攻擊,現在的網際網路伺服器遭受的最多的是ddos攻擊,本文總結了一些dns伺服器會遇到的ddos攻擊型別,以及相應的預防措施。
[1]的作者將ddos的攻擊分為三種型別:
下面會扁平地一一介紹各種攻擊,不會根據分類來介紹。
- udp floods
udp是一種無連線(connectionless)無狀態(sessionless)的傳輸協議,攻擊者會向目標伺服器的任意埠(port)傳送大量的udp報文,目標伺服器收到這些udp報文後,會檢視有沒有相應的服務監聽這個請求埠,如果沒有服務監聽這個請求埠,則向請求者傳送icmp destination unreachable報文。目標伺服器在傳送大量的icmp報文上會消耗過多的伺服器資源,從而使得目標伺服器對外服務過慢,甚至停止服務。
udp floods攻擊防禦的常用辦法是過濾與所提供服務的包大小差別太大的請求包,或者限速,某乙個請求ip所請求的udp包的型別每秒不能超過一定的閾值,超過則丟棄。
- dns 放大ddos攻擊
這種攻擊依然是利用了udp協議的無連線無狀態的特點,使用者偽造乙個ip位址向dns伺服器發起請求,dns伺服器處理後會將結果返回到偽造的ip所在的網路。如果這個dns請求請求的是某個zone下面的所有資源記錄(dig any www.***.com ),dns伺服器返回的資料報就可能特別大,大量的大包發向偽造ip所在的網路,就有可能阻塞那邊的網路,或者消耗大量的伺服器資源。因為dns伺服器返回的是乙個合法的dns訊息,所以對於網路人員來說,對這種攻擊的防禦
目前很多的dns伺服器只負責解析乙個domain中的網域名稱,關閉遞迴查詢可以使你的dns伺服器不會成為dns放大攻擊中的傀儡,bind9中的option;可以關閉遞迴;如果你的伺服器還想提供遞迴功能的話,可以只對特定ip段的查詢提供遞迴功能,bind9中可以像下面這樣設定:
options ;
allow-recursion ;};
可喜的是,bind9.8及以上的版本為使用者提供了限速的功能:
rate-limit ;
- dns cache 汙染
這個可能不屬於ddos攻擊,但是也把它放在這裡。
cache汙染是指權威網域名稱伺服器返回給遞迴網域名稱伺服器的資源記錄被黑客劫持,換成了他們的資源記錄,這個資源記錄會在遞迴網域名稱伺服器中存在ttl時間,在這個時間內,使用者的dns請求得到的就是虛假的合法資訊。通過這種方法,黑客可以把乙個**的訪問引流到另乙個**。
這篇文章詳細介紹了dns cache汙染是如何工作的。
上面文章的作者提出的預防的解決辦法是亡羊補牢,當發現這種攻擊時,用tcp發起dns請求。。。。汗。還有中方法是發現cache汙染的時候重新整理(flush)一遍cahce,
實際上,dns整套協議在流轉的過程中的每個環節都有可能遭受攻擊,dns協議的幾種操作和可能存在的安全威脅見這裡(第四節)。
下圖是internet網路上面遭受的攻擊種類,這些攻擊涉及到了四層到七層的所有常用的協議。
防患未然才是最有效的預防方法,時刻對安全保持一顆敬畏的心才會做好事情。
enjoy~
郵件伺服器採用的DNS伺服器
郵件伺服器採用的dns伺服器字型大小 10pt 香港 ns1.vigator.205.252.144.228 澳門 vassun2.macau.ctm.202.175.3.8 深圳 ns.shenzhen.gd.202.96.134.133 202.96.154.8 202.96.154.15 北京...
ISP的DNS伺服器
下文資訊來自webeasymail的幫助檔案,請參考 您可以試試下面這些dns位址,或直接詢問本地isp服務提供商 北京 202.96.199.133 202.96.0.133 202.106.0.20 202.106.148.1 202.97.16.195 上海 202.96.199.132 20...
免費的DNS伺服器
博主正在使用的dns 主 dns 備 dns 備註119.29.29.29 8.8.4.4 推薦主dns 備dns 備註119.29.29.29 182.254.116.116 推薦2,阿里 dns alidns 這組 dns 是由阿里巴巴 中國 提供的,國內連通性還是不錯的,但是國外部分地區連通性...