DNS 放大攻擊透過使用 IP 欺騙向目標發送比攻擊者發送的資料更多的資料。 惡意行為者將向合法服務(例如 DNS 伺服器)發出請求,並使用欺騙受害者的 IP 位址。
該服務會將回應傳送到該位址。 由於放大攻擊使用的協定的回應大於相應的請求,這使得攻擊者消耗的目標頻寬比容量攻擊中使用的頻寬要多。
DNS 放大攻擊利用開放 DNS 解析器來提高 DDoS 攻擊的有效性。 DNS 是放大攻擊的熱門選擇,原因如下:
| 因素 | 描述 | 攻擊者的優勢 |
| UDP 使用 | DNS 通常使用 UDP,它缺乏握手驗證。 | 攻擊者更容易進行 IP 欺騙。 |
| 可信協議 | DNS 是一種基本的網際網路協議,通常允許通過防火牆。 | 根據協議類型繞過防火牆過濾。 |
| 更大的反應 | DNS 回應包含超過請求大小的所有請求資料。 | 放大發送到目標的資料量。 |
| 可配置的回應 | 攻擊者可以建立大量 DNS 記錄以實現更大的放大效果。 | 最大化攻擊的影響。 |
| 合法請求 | 攻擊可以利用合法域,從而使基於域名的過濾失效。 | 很難與真實流量區分開來。 |
DNS 放大攻擊是容量 DDoS 攻擊的一個範例。 這些攻擊的目標是用足夠的垃圾郵件流量淹沒目標,以消耗其所有網路頻寬或其他稀缺資源(運算能力等)。
透過使用 DNS 進行放大,攻擊者可以壓倒目標,同時使用攻擊所消耗的一小部分資源。 通常, DDoS 攻擊旨在使目標服務離線。 如果攻擊者使用了所有可用資源,則合法使用者將無法使用任何資源,從而導致服務無法使用。
然而,小規模的攻擊也會對其目標產生負面影響…
即使服務沒有完全離線,效能下降也會對其客戶產生負面影響。 此外,攻擊消耗的所有資源都會消耗目標資金,但不會為企業帶來任何利潤。
以下是針對這些 DNS 攻擊的緩解策略:
這些措施旨在保護此類攻擊的目標。
還可以透過控制對 DNS 解析器的存取來管理整體威脅,以防止它們被用於這些攻擊。
透過利用 DNS 提供的放大效應,攻擊者可以發動比直接攻擊更大的攻擊。 然而,DNS 並不是唯一可用的 DDoS 放大選項,甚至也不是放大係數最大的選項。
防範 DNS 放大和其他 DDoS 攻擊需要 DDoS 緩解解決方案,該解決方案可以在攻擊流量和合法流量到達目標伺服器之前對其進行過濾。
Check Point Quantum分散式阻斷服務可為高達 800 Gbps的 DDoS 攻擊提供即時攻擊偵測和防禦,針對 DDoS 威脅提供強大的保護。 有關Quantum分散式爆發服務及其功能的更多信息,請查看此數據表。
反映意見