DNS 放大攻擊
DNS 稱為域名系統(tǒng)(Domain Name System)�,其作用為可以將域名和 IP
地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)����,能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng),DNS 使用的 TCP 與 UDP 端口號(hào)都是 53�,主要使用 UDP 協(xié)議。通常���,DNS
響應(yīng)數(shù)據(jù)包會(huì)比查詢數(shù)據(jù)包大��,攻擊者利用普通的 DNS 查詢請(qǐng)求就能夠?qū)⒐袅髁糠糯?2 到 10 倍�����。但更有效的方法是使用 RFC 2671 中定義的 DNS
擴(kuò)展機(jī)制 EDNS0�����。在 EDNS0 中�,擴(kuò)展了 DNS 數(shù)據(jù)包的結(jié)構(gòu),增加了 OPT RR 字段�。在 OPT RR 字段中,包含了客戶端能夠處理的最大 UDP
報(bào)文大小的信息����。服務(wù)端在響應(yīng) DNS 請(qǐng)求時(shí),解析并記錄下客戶端能夠處理的最大 UDP 報(bào)文的大小�����,并根據(jù)該大小生成響應(yīng)的報(bào)文����。
攻擊者發(fā)送的 DNS 查詢請(qǐng)求數(shù)據(jù)包大小一般為 60 字節(jié)左右����,而查詢返回結(jié)果的數(shù)據(jù)包大小通常為 3000
字節(jié)以上�,因此���,使用該方式進(jìn)行放大攻擊能夠達(dá)到 50 倍以上的放大效果��。極端情況下�����,36 字節(jié)的查詢請(qǐng)求能夠產(chǎn)生 3k~4k
字節(jié)的應(yīng)答�,也就是說(shuō)��,能夠?qū)袅髁窟M(jìn)行一百倍放大
SNMP 放大攻擊
SNMP 是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol)的縮寫(xiě)�����,該協(xié)議是目前 UDP/IP
網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議�����,如今,各種網(wǎng)絡(luò)設(shè)備上都可以看到默認(rèn)啟用的 SNMP 服務(wù)��,從交換機(jī)到路由器����,從防火墻到網(wǎng)絡(luò)打印機(jī),無(wú)一例外�����。
在 SNMPv1 中定義的 Get 請(qǐng)求可以嘗試一次獲取多個(gè) MIB
對(duì)象���,但響應(yīng)消息的大小受到設(shè)備處理能力的限制����。如果設(shè)備不能返回全部請(qǐng)求的響應(yīng)���,則會(huì)返回一條錯(cuò)誤信息���。在SNMPv2 中,添加了 GetBulk
請(qǐng)求��,該請(qǐng)求會(huì)通知設(shè)備返回盡可能多的數(shù)據(jù)����,這使得管理程序能夠通過(guò)發(fā)送一次請(qǐng)求就獲得大段的檢索信息����。利用默認(rèn)通信字符串和 GetBulk
請(qǐng)求�����,攻擊者能夠開(kāi)展有效的 SNMP 放大攻擊�����。
攻擊者向廣泛存在并開(kāi)啟了 SNMP 服務(wù)的網(wǎng)絡(luò)設(shè)備發(fā)送 GetBulk 請(qǐng)求��,使用默認(rèn)通信字符串作為認(rèn)證憑據(jù)���,并將源 IP 地址偽造成被攻擊目標(biāo)的
IP 地址。設(shè)備收到 GetBulk
請(qǐng)求后����,會(huì)將響應(yīng)結(jié)果發(fā)送給被攻擊目標(biāo)。當(dāng)大量的響應(yīng)結(jié)果涌向目標(biāo)時(shí)���,就會(huì)導(dǎo)致目標(biāo)網(wǎng)絡(luò)擁堵和緩慢����,造成拒絕服務(wù)攻擊。攻擊者發(fā)送的 GetBulk 請(qǐng)求數(shù)據(jù)包約為
60 字節(jié)左右���,而請(qǐng)求的響應(yīng)數(shù)據(jù)能夠達(dá)到 1500字節(jié)以上����,因此����,使用該方式進(jìn)行放大攻擊能夠達(dá)到 20 倍以上的放大效果。
其他形式的放大攻擊
在 NTP 協(xié)議中����,monlist 請(qǐng)求可以獲取與目標(biāo) NTP 服務(wù)器進(jìn)行過(guò)同步的最后 600 個(gè)客戶端的 IP
地址。發(fā)送一個(gè)很小的請(qǐng)求包��,就能獲取到大量的活動(dòng) IP 地址組成的連續(xù) UDP 包����。通過(guò)偽造 IP 地址并發(fā)送 monlist 請(qǐng)求,可以將攻擊流量放大 500
倍以上���。
服務(wù)器租用�、托管,只有您想不到的�,沒(méi)有我們做不到的,只要您選擇了我們?nèi)诰http://www.33ol.com/����,我們就會(huì)竭誠(chéng)為您服務(wù)!!!。企點(diǎn)Q:2852361322電話:13924367540
在線咨詢 
