从10G攻击案例看DNS放大攻击：原理、危害与防护

从10G攻击案例看DNS放大攻击：原理、危害与防护

DNS放大攻击是一种利用DNS服务器特性的网络攻击手段，通过大量伪造的DNS请求，使目标服务器遭受巨大的流量压力，导致服务中断。本文将详细介绍DNS放大攻击的工作原理、危害，并提供有效的防范措施。

DNS放大攻击的工作原理主要是利用了DNS服务器的特性，即响应报文通常比请求报文大得多。攻击者首先控制大量的僵尸主机，这些僵尸主机伪装成被攻击主机的IP地址，在特定时间点连续向多个允许递归查询的DNS服务器发送大量的DNS服务请求。

例如，攻击者会构造请求，使得DNS服务器产生尽可能大的响应。就像一个恶意少年打电话给餐厅，要求每样东西点一份并让餐厅回电确认订单，而提供的回电号码却是目标受害者的电话号码。当餐厅回电时，目标受害者就会收到大量他们并未请求的信息。在DNS放大攻击中，每个僵尸主机向开放DNS解析器提出请求时都提供欺骗性IP地址，也就是目标受害者的真实源IP地址。当DNS服务器响应这些请求时，大量的应答数据就会发送到目标受害者的IP地址上，形成攻击流量。

DNS放大攻击具有以下特点：

• 难以被检测：由于攻击者利用僵尸网络，使得攻击源分散且难以追踪。同时，攻击流量与正常的网络流量混合在一起，增加了检测的难度。
• 难以防御：因为攻击流量来自多个DNS服务器，而不是单一的攻击源，使得传统的防火墙等防御手段效果有限。而且，攻击者可以不断变换攻击策略，使得防御更加困难。
• 攻击流量大：查询应答数据包往往比查询请求数据包大数倍甚至数十倍，通过控制大量僵尸主机同时发起攻击，可以产生巨大的攻击流量。据相关数据显示，发送的DNS查询请求数据包大小一般为60字节左右，而查询返回结果的数据包大小通常为3000字节以上，因此，使用该方式进行放大攻击能够达到50倍以上的放大效果。这样的攻击流量很容易使目标服务器的带宽被占满，导致服务中断。

二、DNS放大攻击的危害

（一）网络拥堵与服务中断

DNS放大攻击会对网络造成严重的拥堵，使目标服务器的带宽迅速被耗尽。当大量的DNS响应数据涌向目标服务器时，就如同高速公路上突然涌入远超其承载能力的车辆，网络交通瞬间陷入瘫痪。正常的业务流量无法通过，服务变得不可用。这对于企业来说，可能导致在线业务停滞，客户无法访问网站或使用在线服务，进而影响企业的声誉和经济效益。例如，电商平台在遭受DNS放大攻击时，用户无法下单、支付或查询订单状态，企业可能因此损失大量订单和客户。对于关键基础设施，如金融机构、医疗系统等，服务中断可能会带来更严重的后果，甚至危及公共安全。

（二）数据泄露风险

在DNS放大攻击过程中，攻击者并非仅仅是为了造成网络拥堵。他们还可能利用攻击获取用户数据，从而带来严重的数据泄露风险。当大量的DNS响应数据冲击目标服务器时，攻击者有可能趁机插入恶意代码或利用漏洞窃取用户数据。据统计，在遭受DNS放大攻击的案例中，约有30%的情况会伴随着不同程度的数据泄露。这些数据可能包括用户的个人信息、登录凭证、财务数据等敏感信息。一旦这些数据落入攻击者手中，用户可能面临身份盗窃、财务损失等风险。企业也会因为数据泄露而面临法律责任、客户信任丧失等问题。例如，某企业的服务器遭受DNS放大攻击后，用户的个人信息被窃取，导致部分用户遭受诈骗，企业不仅要承担法律责任，还需要花费大量的时间和资源来恢复用户信任和修复受损的系统。

三、DNS放大攻击案例分析

（一）经典案例回顾

2015年6月，某运营商枢纽节点DNS网络遭受了严重的DNS放大攻击。6月15日上午，绿盟科技ADS产品报警有DDoS攻击告警，同时某运营商网管中心互联网室通知其枢纽节点DNS服务器疑似遭受DDoS攻击。绿盟科技服务团队立即启动应急响应机制。

攻击主要是攻击源向枢纽节点DNS发送大量小字节的针对美国黑客网站defcon.org域名的ANY查询请求，使得DNS服务器返回大量大字节的数据包。初步统计此次攻击流量至少在10G以上，攻击在短时间内发起了峰值大于6Gbps的查询请求。防火墙会话数接近饱和，in use count达到900万，域名解析延时增大，严重影响了DNS业务的正常运行。

攻击源大部分来自运营商某范围内的互联网专线IP，主要是通过控制肉鸡对美国黑客网站和僵尸网络域名进行ANY查询请求和随机查询请求。攻击特点是采用ANY查询进行放大攻击，放大倍数达到50倍左右，攻击源更加多样化，包括智能监控设备和商用无线路由器等。

6月15日至16日，绿盟科技服务团队启动相关分析及数据汇总和ADS流量牵引注入工作；6月17日至19日，绿盟科技云安全中心服务团队及本地技术团队24小时监测攻击变化并随时调整监测阀值。最终，通过开启防护系统的流量牵引注入策略和模式匹配策略，对攻击流量进行清洗和丢弃特定域名的请求数据包，保障了某运营商DNS服务的高可用性。

（二）案例启示

从这个案例中，我们可以得到很多重要的经验教训。首先，DNS放大攻击的危害巨大，不仅会导致网络拥堵和服务中断，还可能带来数据泄露风险。在这个案例中，某运营商的DNS业务受到严重影响，域名解析延时增大，成功率降低，给用户带来了极大的不便。同时，攻击源的多样化也提醒我们，网络安全防护不能只关注传统的攻击手段，还需要对新兴的攻击方式保持高度警惕。

其次，及时的应急响应和有效的防护措施至关重要。绿盟科技服务团队在接到攻击告警后，迅速启动应急响应机制，通过分析和数据汇总、流量牵引注入、监测阀值调整等措施，成功地应对了这次攻击。这表明，企业和组织需要建立完善的网络安全应急响应机制，提高应对网络攻击的能力。

最后，加强网络安全防护的重要性不言而喻。企业和组织应该采取多种措施，如正确配置防火墙和网络容量、增大链路带宽、限制DNS解析器的查询来源、使用DDoS防御产品等，来防范DNS放大攻击。同时，还需要加强对网络设备的管理，及时更新密码，防止弱口令被利用。只有这样，才能有效地保护网络安全，保障企业和组织的正常运营。

四、如何防范DNS放大攻击

（一）技术层面的防御措施

1. 正确配置防火墙和网络容量

可以过滤掉异常的DNS流量，比如源端口为53的UDP包，或者大小超过512字节的DNS响应包。通过合理设置防火墙规则，能够有效减少恶意流量进入网络。据相关数据统计，正确配置防火墙后，能够阻挡约70%的异常DNS流量。

2. 增大链路带宽

提高网络抗压能力，减少因为流量过载而造成的服务中断。例如，当网络带宽从100Mbps增加到1Gbps时，能够承受的流量压力大幅提升，可在一定程度上缓解DNS放大攻击带来的影响。然而，增大链路带宽并非完全解决之道，因为攻击者可以不断增加攻击流量，而且无限增大带宽成本高昂。

3. 限制DNS解析器查询

限制DNS解析器仅响应来自可信源的查询，或者关闭DNS服务器的递归查询功能，防止被攻击者利用。理想情况下，DNS解析器应仅向源自受信任域的设备提供服务。这样可以大大降低被利用进行放大攻击的风险。

4. 使用DDoS防御产品

将入口异常访问请求进行过滤清洗，然后将正常的访问请求分发给服务器进行业务处理。专业的DDoS防御产品能够实时监测网络流量，快速识别和阻挡恶意攻击流量。据行业报告显示，使用有效的DDoS防御产品可以成功抵御约90%的DNS放大攻击。

（二）管理层面的策略

1. 采用更严格的访问控制

企业应采用更严格的网络访问控制策略，使用双因素或多因素身份验证，以更好地控制哪些用户可以访问他们的网络。CISA建议公司定期更改所有可用于更改DNS记录的帐户的密码，包括公司管理的DNS服务器软件上的帐户、管理该软件的系统、DNS运营商的管理面板和DNS注册商帐户，DNS管理平台尽量避免采用与其他平台相同和类似的账号密码，以防止黑客采用遍历手段获取DNS解析和管理权限。

2. 部署零信任方案

零信任方法越来越受欢迎，部分原因在于许多组织已经采用了混合和远程工作模式。零信任还可以帮助缓解DNS威胁。Gartner建议安全和风险领导者实施两个与网络相关的关键零信任项目以降低风险：一个是零信任网络访问（ZTNA），它根据用户及其设备的身份、时间和日期、地理位置、历史使用模式和设备运行状况等其他因素授予访问权限。根据Gartner的说法，零信任能提供一个安全且有弹性的环境，具有更大的灵活性和更好的监控。第二个是基于身份的网络分段，这也是一种久经考验的方法，可以限制攻击者在网络中横向移动的能力。

3. 检查/验证DNS记录

建议企业及时检查拥有和管理的所有域名，确保名称服务器引用正确的DNS服务器，这一点至关重要；检查所有权威和辅助DNS服务器上的所有DNS记录，发现任何差异和异常，将其视为潜在的安全事件，及时查找原因并解决。通过定期检查和验证DNS记录，可以及时发现潜在的安全问题，降低被攻击的风险。