这本由供应商编写的技术入门读物由Network World编辑,以消除产品促销,但读者应该注意,它可能足球竞猜app软件会支持提交者的方法。
一个新的庞大阶级DDoS攻击3月26日出现了DNS反射攻击,通过电子邮件垃圾邮件发送者CyberBunker反对垃圾邮件服务Spamhaus.报道的流量峰值为300Gbps,是之前记录的两倍。
专家表示,这种大规模的攻击将越来越流行,因为它们利用了现有的互联网DNS服务器,这意味着无需招募自己的僵尸网络,甚至无需租用一个。这些类型的攻击被称为反射(有时是放大)攻击,因为针对DNS服务器的相对较少的、较小的请求会导致大量的响应流量转发给受害者。
新闻报道:可能相关的DDoS攻击导致DNS主机中断
好消息是,这类系统性问题以前就曾面临过,而且在某种程度上已经得到了解决。记得当电子邮件垃圾邮件是大部分的网络流量吗?DNS反射攻击也是一个类似的问题,不过,谢天谢地,并没有像垃圾邮件那样疯狂的直接盈利动机。
什么使DNS反射攻击是持续的容忍开放的DNS解析器在互联网上。DNS服务器被认为是一个“开放”的解析器,如果它将接受并转发它不服务的域的名称查询。然后可以以这种方式使用这些打开的解析器来生成针对受害者的流量负载。通常,解析器不需要打开——通常只是配置错误导致了这种情况,所有者/操作甚至不知道它正在发生。Open Resolver项目列出了2500万台这样的服务器。如果他们被认为是僵尸网络,它将是有史以来最大、最强大的僵尸网络之一。
实现现状并启用DNS反射攻击的另一个方面是致力于最小化延迟。每个人都希望互联网快(谁不希望呢?),响应式DNS系统被视为关键。运营商部署的非常非常大的DNS系统能够并且确实每秒定期响应数百万个查询。通过UDP的单包请求和响应被用来实现这种规模。但UDP的无状态特性意味着它不提供身份和实际上是“难以捉摸的”——攻击者可以很容易地恶搞UDP数据包和DNS服务器没有办法告诉这已经完成,通过回应他们可能会不知不觉地攻击一个无辜的受害者。
那么,有没有办法走出DNS DDoS陷阱呢?
一个更智能的DNS基础设施是答案;一个更智能的基础设施,不仅要注意它的积极影响,也要注意它的破坏性能力。企业、供应商和服务可以共同努力,将DNS基础设施带到更高的智能层次。
供应商需要制造更智能的DNS产品。当前的防御技术(如忽略第一个查找请求)是粗糙的,并不能解决反射问题。新型DNS服务器必须意识到攻击,并在病态情况下限制其响应速度。
一种可能已经成熟的方法是检测攻击条件,然后将传入的查询重定向到在攻击期间使用TCP。这可能会导致更高的延迟(由于TCP开销),并意味着一些服务器需要升级,因为许多Internet DNS服务器将在TCP期间遭受显著的性能损失,但它的影响应该是暂时的(只是攻击的持续时间)。
但企业也应加强配置,以防止引发3月26日攻击的那种放大请求。具体来说,服务器几乎没有理由响应一个完整的区域转储,除非是特定的白名单地址.企业还可以阻止“any”记录类型的请求,反正这种记录类型的通用用途并不多。
帮助减少垃圾邮件(本身就是一种容量攻击)的因素之一是黑名单服务的存在(如Spamhaus;这是一种讽刺)。Spamhaus监视互联网上的开放式邮件转发,并将这种情报作为一种服务进行宣传——企业利用Spamhaus列表自动屏蔽垃圾邮件。对于DNS,有几个免费的服务监控互联网上数以百万计的开放DNS中继。
到目前为止,试图关闭这2500万个公开解决方案的唯一方法是通过这些公开名单进行轻微的公开羞辱。显然,仅仅出现在这个名单上是不够的,事实上,发布这个名单就像把一个巨大的僵尸网络的地址分发给任何想要使用它的人!既然羞耻感不起作用,也许是时候采取更极端的措施了。接下来,如果“好的”DNS服务器停止响应列入黑名单的开放解析程序,这可能会迫使懒惰者清理他们的行为,就像Spamhaus服务对电子邮件所做的那样。
网络碉堡和垃圾屋之间的冲突可能已经结束——个人攻击者最近被逮捕了在被证明发动了攻击之后在他自己的高科技货车上)。然而,除非业界建立一个更智能的DNS基础设施,否则与DNS反射攻击的DDoS战争可能才刚刚开始。
F5帮助企业满足需求,并抓住随着语音、数据和视频流量、移动工作者和应用程序(包括数据中心、网络和云)不断增长的机遇。2020欧洲杯预赛全球最大的企业、服务提供商、政府实体和消费品牌都依赖F5的智能服务框架来交付和保护他们的应用程序和服务,同时确保人们保持联系。学习更多在www.f5.com.