什麼是dns呢?
網路節點能夠被定址訪問的原因,是由於網路節點擁有乙個獨立身份證,這是由網絡卡實體地址、ip位址和網路埠組成的乙個位址體系。對於以tcp/ip為基礎協議的internet來說,必須找到訪問物件的ip位址,才能進行訪問,但由於ip位址難於記憶,也不夠靈活,internet規則的制定者發明了一套網域名稱體系與其對應,這就是dns(網域名稱解析服務)的基礎體系。這時使用者無需記憶大量的ip位址數字(如202.108.22.5),而能通過網域名稱訪問豐富多彩的網際網路內容(如www.baidu.com),這給使用者帶來了極大的方便,但也產生了相關的安全隱患。
方式一:利用dns伺服器進行ddos攻擊
正常的dns伺服器遞迴詢問過程可能被利用成ddos攻擊的。假設攻擊者已知被攻擊機器的ip位址,然後攻擊者使用該位址作為傳送解析命令的源位址。這樣當使用dns伺服器遞迴查詢後,dns伺服器響應給最初使用者,而這個使用者正是被攻擊者。那麼如果攻擊者控制了足夠多的肉雞,反覆的進行如上操作,那麼被攻擊者就會受到來自於dns伺服器的響應資訊ddos攻擊。下圖為攻擊原理:
a)攻擊者傳送控制訊號給肉雞群機器。
b)肉雞群機器針對這個遞迴dns不斷的執行這條記錄的查詢。
c)本地的dns伺服器首先在它的本地表(或快取)中進行查詢「www.antiy.com」,如果找到將其返回客戶端,如果沒有發現,那麼dns伺服器傳送乙個查詢給根伺服器,來查詢「www.antiy.com」的ip位址。
d)根伺服器收到訊息(資訊)後會回應「www.antiy.com」頂級域(tld)伺服器的位址。
e)然後由本地的dns伺服器聯絡頂級網域名稱(tld)伺服器來確定「www.antiy.com」的ip位址。
f)頂級域(tld)伺服器會回應針對「www.antiy.com」的名稱的伺服器位址。
g)本地dns伺服器聯絡得到的「www.antiy.com」的名稱伺服器來確定它的ip位址。
h)遞迴dns獲得了某網域名稱的ip位址後,把所有資訊都回覆給源位址,而此時的源位址就是被攻擊者的ip位址了。
方式二:dns快取感染
攻擊者使用dns請求,將資料放入乙個具有漏洞的的dns伺服器的快取當中。這些快取資訊會在客戶進行dns訪問時返回給使用者,從而把使用者客戶對正常網域名稱的訪問引導到入侵者所設定掛馬、釣魚等頁面上,或者通過偽造的郵件和其他的server服務獲取使用者口令資訊,導致客戶遭遇進一步的侵害。
方式三:dns資訊劫持
原則上tcp/ip體系通過序列號等多種方式避免仿冒資料的插入,但入侵者如果通過監聽客戶端和dns伺服器的對話,就可以猜測伺服器響應給客戶端的dns查詢id。每個dns報文包括乙個相關聯的16位id號,dns伺服器根據這個id號獲取請求源位置。攻擊者在dns伺服器之前將虛假的響應交給使用者,從而欺騙客戶端去訪問惡意的**。假設當提交給某個網域名稱伺服器的網域名稱解析請求的資料報被截獲,然後按截獲者的意圖將乙個虛假的ip位址作為應答資訊返回給請求者。這時,原始請求者就會把這個虛假的ip位址作為它所要請求的網域名稱而進行連線,顯然它被欺騙到了別處而根本連線不上自己想要連線的那個網域名稱。
方式四:dns重定向
攻擊者如果將dns名稱查詢重定向到惡意dns伺服器。那麼被劫持網域名稱的解析就完全至於攻擊者的控制之下。
方式五:arp欺騙
arp攻擊就是通過偽造ip位址和mac位址實現arp欺騙,能夠在網路中產生大量的arp通訊量使網路阻塞,攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機arp快取中的ip-mac條目,造成網路中斷或中間人攻擊。arp攻擊主要是存在於區域網網路中,區域網中若有一台計算機感染arp木馬,則感染該arp 木馬的系統將會試圖通過「arp欺騙」手段截獲所在網路內其它計算機的通訊資訊,並因此造成網內其它計算機的通訊故障。
arp欺騙通常是在使用者局網中,造成使用者訪問網域名稱的錯誤指向,但在idc機房被入侵後,則也可能出現攻擊者採用arp包壓制正常主機、或者壓制dns伺服器,而李代桃僵,以使訪問導向錯誤指向的情況。
方式六:本機劫持
在計算機系統被木馬或流氓軟體感染後可能會出現部分網域名稱的訪問異常,如訪問掛馬或者釣魚站點、無法訪問等情況,本機劫持有hosts檔案篡改、本機dns劫持、spi鏈注入、bho外掛程式等方式,雖然並非都通過dns環節完成,但都會造成無法按照使用者意願獲得正確的位址或者內容的後果。
與dns相關的一些攻擊案例
事件2:新網dns伺服器遭到攻擊
2023年09月22日,新網對外做出證實dns伺服器遭到大規模黑客攻擊,從21日下午4點多開始持續到凌晨12點。儘管目前服務已經恢復正常,但是技術人員正在追蹤攻擊**,並分析攻擊技術手段。新網是國內最大網域名稱服務商之一,黑客持續8小時的攻擊,導致在新網註冊30%的**無法正常訪問。其中包括天空軟體、艾瑞視點、中國網庫等知名**。
事件3:暴風影音事件
2023年5月18日晚上22點左右,dnspod主站及多個dns伺服器遭受超過10g流量的惡意攻擊。耗盡了整個機房約三分之一的頻寬資源,為了不影響機房其他使用者,最終導致dns伺服器被迫離線。該事件關聯導致了使用dnspod進行解析的暴風影音程式頻繁的發生網域名稱重新申請,產生請求風暴,大量積累的不斷訪問申請導致各地電信網路負擔成倍增加,網路出現堵塞。於2023年5月19日晚21時左右開始,江蘇、安徽、廣西、海南、甘肅、浙江六省陸續出現大規模網路故障,很多網際網路使用者出現訪問網際網路速度變慢或者無法訪問**等情況。在零點以前,部分地區運營商將暴風影音伺服器ip加入dns快取或者禁止其網域名稱解析,網路情況陸續開始恢復。
DDos攻擊 DDos攻擊的本質及攻擊方式
一.利用木桶原理,尋找並利用系統應用的瓶頸 二.阻塞和耗盡 三.當前的問題 使用者的頻寬小於攻擊的規模,造成訪問頻寬成為木桶的短板 不要以為可以防住真正的ddos 好比 藥,一直在 從未見療效 真正海量的ddos可以直接阻塞網際網路 ddos攻擊只針對有意義的目標 如果沒被ddos過,說明確實沒啥值...
ARP DNS DHCP攻擊方式
arp請求 pc a需要其預設閘道器 r1 的mac位址 因此,它將傳送arp請求以獲取192.168.10.1的mac位址。arp響應 r1用pc a的ip和mac位址更新其arp快取。r1向pc a傳送arp答覆,然後pc a用r1的ip和mac位址更新其arp快取。欺詐性arp答覆 在圖中,威...
Ddos攻擊方式分類
分布式拒絕服務是 利用分布式的客戶端,向服務端傳送大量看似合法的請求,從而消耗大量資源或者長時間占用資源不釋放。攻擊網路頻寬自願的攻擊方式 1 直接攻擊 1.1 icmp igmp 洪水攻擊 1.2 udp洪水攻擊 2 反射和方法攻擊 2.1 ack反射攻擊 2.2 dns放大攻擊 2.3 ntp放...