Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

【主机漏洞】DNS Server Spoofed Request Amplification DDoS

wpadmin~October 30, 2018 /InfoSec

DNS Server Spoofed Request Amplification DDoS

DNS Server Spoofed Request Amplification DDoS
DDoS DNS 放大攻击 (DNS Amplification Attacks)
UDP-based amplified reflection attack

基本信息

https://www.tenable.com/plugins/nessus/35450

所有放大攻击都利用了 攻击者 和 受害者 之间的带宽资源消耗差异。(四两拨千斤)

举个例子,攻击者 发送 17 byte 的 DNS query 时 (伪造源IP), 受害者收到来自 DNS Server 的响应是 964 byte ,根据具体响应内容不同,一定条件下能放大到 100 倍。
这样攻击者控制的 botnet 如果发送 1G 的请求,理想情况下受害者就能收到 100G (ISP可能会按流量收费,并且也有带宽问题)。

测试方法

在线测试工具
https://isc.sans.edu/dnstest.html

dig . NS @<dns_server_ip>
nslookup www.qq.com 114.114.114.114
dig @114.114.114.114 www.qq.com

为什么攻击者喜欢解析 . 根域名?
大概主要还是因为这样的话请求会更短,放大倍数就变大了。

放大倍数 = 攻击流量(DNS响应) / 攻击成本(DNS请求) = 964 / 17 = 56.71

解决方案 (DNS服务器控制方)

确认一下 DNS 服务器的用途。
配置 DNS 服务器仅解析必要的请求。
理想情况下,DNS 服务器应仅向源自受信任域的设备提供其服务。
(比如仅解析 company.com 及其子域名的请求)

解决方案 (受害者)

在末端可以做一些流量清洗。
如果要治本还需要各个 ISP 对源IP 进行严格验证。防止伪造IP请求发出。

DDoS 中的黑洞路由

什么是 DDoS 黑洞路由?
https://www.cloudflare.com/learning/ddos/glossary/ddos-blackhole-routing/

所有目的地址为受害者的流量都被丢包(其中包含一部分合法用户的请求)。

比如在云计算的场景中,黑洞掉受到 DDoS 攻击的云租户,牺牲大规模网络中的个体,来保护整个云服务提供商整体的网络的稳定程度。

源码

DNS Flood
https://github.com/nickwinn/dns-flood

参考资料

【非常详细】DDoS 原理与防御 – mochazz
[https://mochazz.github.io/2017/09/11/DDOS1/]

【非常详细】DDoS 攻击模拟复现 – mochazzhttps://mochazz.github.io/2017/09/11/DDOS2/#0X02DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E5%A4%8D%E7%8E%B0

DNS Amplification Attacks – US-CERT
https://www.us-cert.gov/ncas/alerts/TA13-088A

What is a DNS amplification attack? – CloudFlare
https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/

CCNA Security: 6. DNS Amplification Attack a real world example
https://www.youtube.com/watch?v=YzO3Z63GfuI

DNS Amplification Attack – Radware
https://www.youtube.com/watch?v=xTKjHWkDwP0

超大体积 DNS TXT 记录被用来放大DDoS攻击
https://www.easyaq.com/news/384.shtml

Leave a Reply

Your email address will not be published. Required fields are marked *