消除DNS反射阻斷式攻擊 (Denial-of-Service Attacks)

作者:Ben April(資深威脅研究員)

目前,趨勢科技看到利用DNS反射(reflection)或放大(amplification)技術來進行阻斷式攻擊的數量節節攀升。有許多種變形,但攻擊模式大致是一樣的:

  1. 攻擊者偽造來源IP地址(來自目標受害者)來發出DNS查詢封包。(可以將這它想成使用假的退信地址。)
  2. 查詢封包發送到接受外部網路查詢的DNS伺服器(也就是位在不同的ISP/網路,而非自己的網路)。此外,也會想辦法讓這DNS查詢封包可以盡可能地產生最大的回應。通常會使用DNSSEC,因為它所回應的封包會比其他DNS回應封包要大得多。
  3. 目標受害者會接收到過多的封包。有來自DNS伺服器的回應封包,或是送回給「發送者」的錯誤訊息。
  4. 透過DNS反射(reflection)技術,可以用相較起來較少量的機器(通常是用被入侵淪陷的機器)來對受害者產生巨大的流量。在一般情況下,被濫用的DNS伺服器甚至不會知道自己正在參與攻擊。
  5. 這類型的攻擊很難被追踪,因為來源IP地址已經是變造過的。你需要DNS伺服器管理者和他們網路服務供應商的大力協助才有辦法追查攻擊來源。

網路營運商和DNS伺服器管理者都可以幫忙消除這些攻擊。

網路營運商

據估計,有14.1%的網段,佔所有IP地址的16.8%被用來造假。這聽起來很少,但網際網路是個很大的地方。使用DNS反射攻擊會造成很大的傷害,即使只用到遠小於1%的IP地址。

在路由器或防火牆上啟動入口過濾(Ingress filtering)是防止網路成為這類型攻擊來源的一種作法。它可以防止路由器傳送來源地址跟收到介面的網路不符的封包。這就好像是郵局拒絕一封退信地址是來自外地的外寄郵件。

但這並不能阻止位在相同網路上的機器發起欺騙攻擊,但它可以防止機器對外部網路發起欺騙攻擊。對這,最好的參考資料之一就是BCP-38,它詳細介紹了如何實現這類型的過濾。

DNS伺服器管理者

網路營運商的DNS伺服器在對付這種威脅上也扮演了一定的角色。如果你管理可以開放讓外部查詢的DNS伺服器,那你的確應該允許網路上的任意機器來查詢你底下伺服器的網域。但如果是那些不屬於你的網域呢?

讓網路上的任意IP來向你的DNS伺服器查詢網址(比方說www.trendmicro.com)的IP似乎沒什麼壞處。如果不考慮到來源的IP地址可能是假造的,那的確是沒有害處。然而,正因為無法驗證來自外部網路進行查詢的來源IP地址真實性,就沒有辦法分辨對你的伺服器進行查詢的封包,是真正無害或是攻擊的一部分。

一種對這問題的常見解決方法是設置兩個名稱伺服器。一個會回應所有對你所掌控機器網址的查詢,而忽略對其他任何網域的查詢請求。第二個則提供給所有你網路的使用者,提供他們所去網站的名稱解析查詢。(可以只用一台伺服器,但設定上會更加複雜。)

如果因為某些原因讓你必須開放DNS伺服器,請考慮限制查詢速率,以防止被濫用。

 

@原文出處:Mitigating DNS Reflection Denial-of-Service Attacks

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網