了解DNS类DDoS攻击

来源： 51CTO 发布日期： 2013-02-21

   在网络的发展史里有个名词相信大家都不陌生，那就是"分布式拒绝服务（DDoS--Distributed Denial of Service） 攻击"。随着IT及网络的发展演进至今，DDoS攻击形势愈加严峻，单次攻击流量超过100G的案例已经发生，全球僵尸主机规模已经超过3000万台…… 随处可以获得的攻击工具，庞大的僵尸网络群体，发动一次DDoS攻击不再需要任何黑客技术门槛，只需要3步（下载攻击工具、购买僵尸主机，发动攻击）即可 完成一次攻击。

    DDoS攻击主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。实现DDoS 攻击的方式有多种，DNS类DDoS攻击即是其中较为常见的一种攻击方式。

    据华为安全能力中心统计，针对Web服务攻击占攻击总量的67.71%，攻击方式主要集中在SYN Flood、HTTP Get Flood、CC 攻击、重传攻击等方面，Web服务仍是DDOS主要攻击目标。

   针对DNS的攻击占攻击总量的11.74%，主要以cache miss为目的的DNS query flood攻击为主，互联网业务系统一般都采用大量服务器组成的集群，相比DNS系统更脆弱。城域网DNS缓存服务器和大客户的DNS授权服务器都成为重 点的攻击目标。针对Mail攻击以SYN Flood为主，针对在线游戏攻击则是针对业务端口的UDP Flood攻击为主。

    DNS类DDoS攻击

    首先，我们先了解一下DNS（Domain Name System），众所周知它是域名系统的意思，其作用就是协调IP地址和主机名之间的双向切换。DNS是Internet的基础架构，众多的网络服务 （如：Http、Ftp、Email等等）都是建立在DNS体系基础之上的。DNS系统中有授权服务器和缓存服务器两种类型。DNS服务器的本职就是要向 全世界广播所有他们要解析的域名相关的记录。因为用户更喜欢使用普通的名称来访问网络，而不是一些数字，DNS服务器对用户在浏览器中输入的内容进行翻 译，例如当用户在Web浏览器中输入某网址后，它会翻译成一个网络可以理解的真实的IP地址。

    作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服 务。相信大家都记得，在2012年2月，黑客组织Anonymous也曾经宣布要对全球互联网的13台根DNS服务器发起大规模的DDoS攻击，不过最终 没有得手。

    针对DNS服务器的攻击有多种，如：DNS查询攻击；DNS reply flood攻击；DNS缓存投毒攻击；DNS协议漏洞攻击；Fast flux僵尸网络等。

    根据DDoS攻击次数比例图与DDoS攻击流量比例图显示，我们可以看出DNS查询攻击占比很重，那么此处我们重点说一下虚假地址的DNS查询DDoS攻击。

    伪造地址的DNS查询DDoS攻击

    DNS服务器是一个保存域名和IP地址映射的数据库，DNS服务器的解析过程就是DNS在其数据库里进行查找匹配记录的过程。由于DNS在域名解析时，字 符串匹配和数据库查找时开销较大，DNS查询DDoS攻击利用这一特点，通过伪造IP地址向目标DNS发送海量的DNS查询攻击包，由于DNS服务器每秒 查询次数有限，使得它忙于处理海量的查询请求数据包而形成拒绝服务攻击。

    我们可以试想一下，如果一个金融机构的业务系统遭遇了此类攻击，将会如何？很肯定的说企业业务的正常运营会受到严重影响。金融在线业务系统最重要的就是实 时性和可靠性，一旦业务中断不仅造成巨大的金钱损失，企业的形象也必将受损，还会影响成千上万的客户，可能造成客户的流失等等严重后果。所以做好安全防护 工作变得非常重要。

    同时，随着网络的发展，面向基础架构的DNS类DDoS攻击势必也会演进，因为攻击者总是在猜测着DDoS攻击防护体系的防范规律，同时也在不断的推出新的攻击软件和攻击手段。放眼未来，DDoS攻击防护任重而道远！