一, DNS 放大攻击
域名系统 (Domain Name System,DNS) 是因特网的一项核心服务. 它作为可以将域名和 IP 地址相互映射的一个分布式数据库. 能够使人更方便地访问互联网, 而不用去记忆那些难以记住的 IP 地址. DNS 使用的 TCP 和 UDP 端口号都是 53, 主要使用 UDP 协议.
通常, DNS 响应数据包会比查询数据包大, 因此攻击者利用普通的 DNS 查询请求就能够发起放大攻击, 并将攻击流量放大 2~10 倍. 攻击者向广泛的开放 DNS 解析器发送 dig 查询请求, 将 OPT RR 字段中的 UDP 报文大小设置为很大的值(如 4096), 并将请求的源 IO 地址伪造成攻击目标的 IP 地址. DNS 解析器收到查询请求后, 会将解析结果发送给被攻击目标. 当大量的解析结果涌向目标时, 就会导致目标网络拥堵和缓慢, 造成拒绝服务攻击.
发动 DNS 放大攻击也需要先进行扫描, 以获得带昂的开放 DNS 解析器的地址, 并向这些开发 DNS 解析器发送位置源地址的查询命令来放大攻击流量.
二, 攻击 DNS 服务
当 DNS 服务的可用性受到威胁时, 互联网上的大量设备都会受影响甚至无法正常运行. 针对 DNS 服务的攻击方式主要有 DNS QUERY 洪水攻击和 DNS NXDOMAIN 洪水攻击两种.
1,DNS QUERY 洪水攻击.
------- 是指向 DNS 服务器发送大量查询请求以达到拒绝服务效果的一种攻击方法.
这个过程会消耗一定的计算和网络资源. 如果攻击者利用大量受控主机不断发送不同域名的解析请求, 那么 DNS 服务器的缓存会被不断刷新, 而大量解析请求不能命中缓存又导致 DNS 服务器必须消耗额外的资源进行迭代查询, 导致 DNS 响应缓慢甚至完全拒绝服务.
2,DNS NXDOMAIN 洪水攻击
DNS NXDOMAIN 是 DNS QUERY 洪水攻击的一种变种攻击方式, 区别在于后者是向 DNS 服务器查询一个真实存在的域名, 而前者是向 DNS 服务器查询一个不存在的域名.
在进行 DNS NXDOMAIN 洪水攻击时, DNS 服务器会进行多次域名查询, 同时, 齐欢唱会被大量 NXDOMAIN 记录所填满, 导致正常用户的 DNS 解析请求的速度变慢. 一部分 DNS 服务器在获取不到域名的解析结果时, 还会再次进行递归查询. 进一步增加了 DNS 服务器的资源消耗.
三, DNS 信息污染
客户端发起正常的一次 DNS 请求, 得到的是一个异常或者不真实的 DNS 信息.(采取 udp 的连接方式)
原因可能出现在上级 DNS 服务器, 或者是域内存在中间人攻击.
DNS 安全
来源: http://www.bubuko.com/infodetail-2581084.html