查看: 1580|回复: 25

US-CERT:DNS服务器配置不当是上周300G DDoS的元凶

[复制链接]
发表于 2013-4-5 10:10:57 | 显示全部楼层 |阅读模式

​

在利用DNS进行放大攻击过程中,开放式递归DNS服务器是脆弱和可利用的环节。其中,最关键的原因是递归DNS服务器没有进行“仅对本地查询做回应”的配置,而是对任何系统进行回应。美国政府下属的US-CERT就此发布预警,并提供了一些应对的方法。

上周,影响互联网平衡、最大规模的DDoS攻击事件中采用了DNS放大攻击(DNS Amplification attack)。美国政府下属的US-CERT就此发布预警,并提供了一些应对的方法。

在DNS放大攻击中,攻击者利用了DNS的配置错误通过DNS回应包的流量对目标展开DDoS攻击。

在攻击过程中,开放式递归DNS服务器是脆弱和可利用的环节。其中,最关键的原因是递归DNS服务器没有将仅对本地查询做回应放到配置里,而是对任何来自系统的请求进行回应。

“基本的攻击过程是,攻击者向一个开放DNS服务器发出一个DNS查询申请,其源地址伪造为计划攻击目标的地址,”US-CERT解释说,

“当DNS服务器返回响应包时,会发给计划攻击的目标。由于响应数据包通常会比查询数据包要大,攻击者借此可以放大对被攻击目标攻击的流量。”

此外,攻击者还可以通过僵尸网络进一步增大DNS攻击的流量。

递归服务器上存在不正确配置的情况已经不是一个新问题了。早在2007年,DNS服务商Infoblox发现超过一半的DNS服务器可以接受来自任何区域的查询申请。

处于300G DDoS攻击事件漩涡中心的CloudFlare公司的CEO Mathew Prince说:

“传统的僵尸网络由于建立在PC基础上,其互联网带宽是有限的,因此发动的攻击流量也是有限的。开放的DNS解析服务器就不同了,他们往往拥有很充裕的带宽”

Prince称,“他们就像一个个火箭筒一样,在上周见证了其破坏力。”

检测
开放解析服务器计划(Open Resolver Project,openresolverproject.org) )拥有一份多达2700万个服务器的长名单。他们推测,其中有2500万台存在风险。

IT管理员可以访问OpenResolver的网站,查询自己维护的服务器是否已经在该计划已公开的开放递归服务器IP名单里。The Measurement Factory也有类似的工具用来进行Open Resolver测试(http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl)。DNSInspect(http://www.dnsinspect.com)提供了一个供管理员使用的在线工具,检查DNS服务器是否存在配置错误。

防护

第一步就是需要确认DNS递归服务器上不存在配置不当的情况。

US-CERT建议DNS服务器仅用于单独域而不是提供对所有域的递归服务。进一步来说,DNS放大攻击使用了伪造的IP地址,US-CERT建议ISP拒绝任何使用伪造IP的DNS流量。对于ISP拒绝虚假IP的建议已经不是新提议了。IETF早在2000年就发布了“Best Current Practice’ document (http://tools.ietf.org/html/bcp38)”,建议ISP对伪造的IP进行过滤。


发表于 2013-4-5 11:17:22 | 显示全部楼层
终于看完了~~~  
发表于 2013-4-5 21:23:40 | 显示全部楼层
哥最近喜欢上了顶贴,因为,如果帖子火了,那有哥的功劳。如果帖子被顶沉了....哥也会很有成就感...因为是哥搞沉的~~大家切记~不要迷恋哥~哥只是一个传说  
发表于 2013-4-5 23:13:06 | 显示全部楼层
不明白
发表于 2013-4-8 14:45:31 | 显示全部楼层
(*^__^*) 嘻嘻……   
发表于 2013-4-8 20:06:13 | 显示全部楼层
哥最近喜欢上了顶贴,因为,如果帖子火了,那有哥的功劳。如果帖子被顶沉了....哥也会很有成就感...因为是哥搞沉的~~大家切记~不要迷恋哥~哥只是一个传说  
发表于 2013-4-9 05:37:56 | 显示全部楼层
我帮你 喝喝  
发表于 2013-4-9 13:19:35 | 显示全部楼层
谢谢楼主啊!
发表于 2013-4-9 18:49:18 | 显示全部楼层
长时间没来看了 ~~  
发表于 2013-4-10 05:50:37 | 显示全部楼层
真是汗啊  我的家财好少啊  加油  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则