DNS request flood攻击既可以针对DNS缓存服务器,又可以针对DNS授权服务器。
针对缓存服务器攻击
攻击者直接或间接向DNS缓存服务器发送大量不存在的域名解析请求,会导致缓存服务器不停的向授权服务器发送这些不存在域名的解析请求,一收一发更加重服务器的负担,最终导致DNS缓存服务器超载直到最终导致瘫痪,影响正常业务。
针对授权服务器攻击
如果攻击的是DNS授权服务器,大量不存在的域名解析请求会导致服务器应接不暇,致使DNS服务器严重超载,无法继续响应正常用户的DNS请求,从而达到攻击的目的。
DNS request flood攻击源可能是虚假源,也可能是真实源,针对不同类型的攻击源,采取的防御方式也不同。
针对虚假源攻击缓存服务器
源认证方式可以有效防御DNS request flood虚假源攻击。基于目的地址对DNS Request报文的速率进行统计,当DNS request报文的速率超过阈值时,启动源认证防御。源认证只针对访问受攻击域名的源IP地址实施,以减少误判和避免对正常业务的访问延时。
DNS查询有TCP和UDP两种方式,通常DNS查询都是用的UDP协议,此时TC位置0,但是可以通过将TC位置1,将查询协议改为TCP方式。Anti-DDoS防护系统可以利用修改DNS报文中的TC标识位,对客户端进行认证。源认证主要交互流程如下:
授权服务器源认证(即ns重定向方式),可以有效防御DNS Request Flood虚假源攻击。重定向只针对访问受攻击域名的源IP地址实施,以减少误判和避免对正常业务的访问延时。
基于目的地址对DNS Request报文的速率进行统计,当DNS request报文的速率超过阈值时,启动重定向。
针对真实源攻击
如果是真实源攻击,经过上述防御过程后,通过的DNS报文还很大,则可以继续采用以下方式进行防御。
DNS请求报文限速:对于大流量的DNS request flood攻击也是一种非常有效的防御方式。
DNS request报文限速源IP行为控制,丢弃超出阈值的DNS request报文。
另外还需要对异常DNS报文的检查将非标准格式的DNS报文直接丢弃。
扩展:https://forum.huawei.com/enterprise/zh/thread-361461.html
今年11月淘宝终于结束了12年之久的淘宝会员名不能更改的历史,这对于很多当初稀里糊涂,就取了一个让自己后悔终生的名字的人来说是一个多么好的消息啊。 当初有多少的人因为失误注册了不好名字,都选择了重新...
据新华社消息,2月10日晚,中央赴湖北指导组对武汉疫情防控工作中暴露出的突出问题开展紧急约谈。 主要针对武汉市在应收尽收工作中暴露的问题,包括: 1、对确诊还未住院的新冠肺炎重症患者进行集中收治过...
小鸡宝宝考考你,长时间晒太阳,穿什么颜色的衣服防晒效果更好?这是蚂蚁庄园7月24号今日庄园小课堂的问题,很多用户还不知道答案,本文小编会为大家详细介绍蚂蚁庄园7月24日课堂答案。 蚂蚁庄园非常好...
(抗击新冠肺炎)哈萨克斯坦计划明年初开始大规模接种新冠疫苗 中新网努尔苏丹12月6日电 据哈萨克斯坦总统府官网12月4日消息,哈萨克斯坦总统托卡耶夫当天会见政府总理马明时,要求确保国产疫苗的...
「163邮箱下载安装_怎么样找黑客联系方式-黑客3687474找」现已有人做过该方面的研讨,也提出了几种可行的计划:error executing sql: insert into users (us...
我们都知道拼多多的商品成团购买会更便宜,因此团购价是店铺吸引买家的一大亮点。但是有顾客根本不愿等待24小时成团半,没成功成团就取消订单了。 那么这个时候,商家就可以利用免拼卡,让买家以优惠价拍下商品。...