目前,趨勢科技看到利用DNS反射(reflection)或放大(amplification)技術來進行阻斷式攻擊的數量節節攀升。有許多種變形,但攻擊模式大致是一樣的:
- 攻擊者偽造來源IP地址(來自目標受害者)來發出DNS查詢封包。(可以將這它想成使用假的退信地址。)
- 查詢封包發送到接受外部網路查詢的DNS伺服器(也就是位在不同的ISP/網路,而非自己的網路)。此外,也會想辦法讓這DNS查詢封包可以盡可能地產生最大的回應。通常會使用DNSSEC,因為它所回應的封包會比其他DNS回應封包要大得多。
- 目標受害者會接收到過多的封包。有來自DNS伺服器的回應封包,或是送回給「發送者」的錯誤訊息。
- 透過DNS反射(reflection)技術,可以用相較起來較少量的機器(通常是用被入侵淪陷的機器)來對受害者產生巨大的流量。在一般情況下,被濫用的DNS伺服器甚至不會知道自己正在參與攻擊。
- 這類型的攻擊很難被追踪,因為來源IP地址已經是變造過的。你需要DNS伺服器管理者和他們網路服務供應商的大力協助才有辦法追查攻擊來源。
網路營運商和DNS伺服器管理者都可以幫忙消除這些攻擊。
網路營運商
據估計,有14.1%的網段,佔所有IP地址的16.8%被用來造假。這聽起來很少,但網際網路是個很大的地方。使用DNS反射攻擊會造成很大的傷害,即使只用到遠小於1%的IP地址。
在路由器或防火牆上啟動入口過濾(Ingress filtering)是防止網路成為這類型攻擊來源的一種作法。它可以防止路由器傳送來源地址跟收到介面的網路不符的封包。這就好像是郵局拒絕一封退信地址是來自外地的外寄郵件。
但這並不能阻止位在相同網路上的機器發起欺騙攻擊,但它可以防止機器對外部網路發起欺騙攻擊。對這,最好的參考資料之一就是BCP-38,它詳細介紹了如何實現這類型的過濾。
DNS伺服器管理者
網路營運商的DNS伺服器在對付這種威脅上也扮演了一定的角色。如果你管理可以開放讓外部查詢的DNS伺服器,那你的確應該允許網路上的任意機器來查詢你底下伺服器的網域。但如果是那些不屬於你的網域呢?
