帮助分类
常见问题
服务器/域名/数据库
备案
网络安全
云计算
其他问题
史上最大DDOS攻击的本质与防范

DDos攻击在今天看来并不新鲜,近两年来发展态势也渐趋平缓,直至一个月前,欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击,让人们警醒,原来DDos攻击手段从未被攻击者忽略。

    这次超大流量DDos攻击的本质是什么?为什么会在今天出现?对此类攻击又该如何防范? 在防DDos攻击领域耕耘多年的安全公司Arbor近日对相关问题给出了答案。

    迄今为止,这是最大的DDoS攻击吗?

    是的,而且规模比以前大得多。之前报告的(和验证的)最大攻击约为100Gb/秒。

    这是一种新型的DDoS攻击吗?

 不是的。此次攻击属于DNS反射/放大攻击,而DNS反射/放大攻击已存在多年了。这种类型的攻击已被发现用来产生近年来互联网上看到的多个最大攻击。DNS 反射/放大攻击利用互联网上的DNS 基础结构来放大攻击能够产生的通信量。DNS 是用于主机名到IP 地址解析的互联网基础设施的重要组成部分。DNS 反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机) 将查询发送到多个开放DNS 解析器中,从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间,使用了超过30K开放解析器)。

    DNS反射/放大攻击是如何产生的?

     两件事使这些类型的攻击成为可能:服务提供商网络缺乏入口过滤(允许流量从虚假源地址转发);因特网上开放 DNS 解析器的数目(可从任何 IP 地址进行查询响应)。

攻击者必须能够假冒目标受害人DNS 查询的源地址。所有组织应在他们网络的所有边界实施 BCP38/84 反欺骗。不幸的是,在今年的Arbor全球网络基础设施安全报告(包含2012年) 中,仅 56.9%的调查对象表示他们目前正在他们的网络边缘执行 BGP 38/84。

这种攻击的第二个关键组成部分是因特网上大量可用的开放DNS 解析器。目前在互联网上预计约有 2700 万开放DNS 解析器。

    DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?

     DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击,相比没有DNSSec的情况,具有DNSSec的任何类型查询都会生成更显著的大量回复数据包,实施DNSSec 实际上意味着更易将攻击放大。

    如何缓解这类攻击?

    如果大部分服务提供商在网络边界执行了BCP 38/84,同时还大幅减少互联网上开放的DNS 解析器的数目,那么就可以减小攻击者的能力,从而降低此类较大攻击的风险。我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表,黑/白名单,灵活僵尸去除,和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而,在应用这些机制时必须谨慎,因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下,这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。