国内ddos网页端4种针对DNS的DDoS攻击应对方法

  DDoS攻击是通过僵尸网络利用各种服务请求,耗尽受攻击网络的系统资源,使受攻击网络无法处理合法用户的请求。
DDoS for DNS攻击可按攻击发起人和攻击特征分类。
1、按攻击发起人对僵尸网络进行分类:控制大量僵尸网络使用实际DNS堆栈启动大量域名查询请求模拟工具:使用工具软件伪造源IP,以发送大量DNS查询
2、按攻击特征分类的Flood攻击:大量DNS查找消息发送导致网络带宽耗尽,无法转发正常的DNS查找请求。资源消耗攻击:发送大量非法域名查找消息会导致DNS服务器继续重复查询,从而实现消耗大量服务器资源(攻击流量较小)的目的。
应对方案:

1、掩蔽无请求发送的DNS响应信息
典型的DNS交换信息由请求信息组成。DNS解析器将用户的请求信息发送到DNS服务器,DNS服务器处理查找请求,然后服务器将响应信息返回到DNS解析器。但值得注意的是,响应信息不是积极发送的。服务器在接收查询请求之前生成了相应的响应信息,响应丢弃快速重发数据包。1.即使数据包丢失,合法DNS客户端也不会以短时间间隔向同一个DNS服务器发送相同的DNS查找请求。2.如果从同一个IP地址发送到同一个目标地址的同一个查找请求发送得太频繁,则这些请求包可能会被丢弃。
2,启用TTL
如果DNS服务器成功发送响应信息,则必须确保服务器不会以短时间间隔响应相同的查询请求信息。1.对于有效的DNS客户端,如果已经收到响应信息,则不会再次发送同一个查询请求。2.必须缓存每个响应信息,直到TTL过期。3.当DNS服务器发出大量查询请求时,可以掩蔽不需要的数据包。通常,攻击者会丢弃对未知源的DNS查找请求并响应数据,利用脚本对目标执行分布式denial service attack(DDoS),这些脚本通常很脆弱。因此,您可以在服务器上部署一个简单的匿名检测机制,在一定程度上限制传入服务器上的数据包数。丢弃请求或未突发的DNS请求可能是由伪造的代理服务器发送的,也可能是由于客户端配置错误或攻击流量造成的。因此,在任何情况下,这种数据包都必须直接销毁。创建白名单,添加服务器在泛洪攻击期间可以处理的合法请求信息。白名单可能会切断非法查询请求信息或以前没有看到的数据包。此方法可有效地保护服务器免受洪水攻击,并确保有效的域名服务器仅处理和响应合法的DNS查找请求。
3、启动DNS客户端身份认证

伪造是DNS攻击中常用的技术。如果设备可以启动客户端身份认证信任,则可用于从假洪水数据中过滤洪水数据包。响应信息缓存处理如果服务器的DNS缓存中已存在对查询请求的响应信息,则缓存可以直接处理请求。这有助于有效地避免服务器过载导致的停机。
许多请求包含没有服务器或不受支持的信息,您可以通过简单的阻止设置(如外部IP地址请求区域转换或碎片包)直接丢弃这些请求包。所有使用托管DNS服务器的ACL、BCP38和IP声誉功能的公司在攻击数据包伪造时,对在世界各地源地址伪造请求的用户轨道有限制。设置一个简单的过滤器,以阻止不需要的地理位置的IP地址请求,或仅在地理位置的白名单中允许的IP请求。
在某些情况下,假数据包可能来自内部网络地址。BCP38允许您通过硬件过滤,或清除异常源地址的请求。BCP38对提供DNS解析的服务提供商也很有用,可防止用户向外发送攻击或受到内部地址请求的攻击,过滤用户并确保相应的数据传输。
4、提供残馀带宽
如果服务器需要日常处理的DNS流量达到X Gbps,请确保流量通道限制在每天的卷以上,并且具有一定的带宽裕量可以帮助处理大规模攻击。总之,目前对DNS的攻击已成为最严重的网络威胁之一。目前,关注DNS保护的大型站点正在增加。为了保护站点安全和站点利益,迫切需要选择高DNS来解析自己的域名国内ddos网页端

相关推荐

发表评论

路人甲

网友评论(0)