新的DNS漏洞使攻击者DDoS高防能够发起大规模DDoS攻击-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 新的DNS漏洞使攻击者DDoS高防能够发起大规模DDoS攻击

新的DNS漏洞使攻击者DDoS高防能够发起大规模DDoS攻击

小墨安全管家 2020-06-30 12:15 CC防护 89 ℃
DDoS防御

研究人员讲:“这能够经过购买域名来轻松实现。作为权威服务器的对手能够制作任何NS推举响应,作为对不同DNS查询的答案。”

研究人员发觉,能够利用这些不希翼的大开销来诱使递归解析器强制将大量数据包延续不断地发送到目标域,而不是合法的权威服务器。

NXNS攻击想法

在负责地披露NXNSAttack之后,负责互联网基础架构的几家公司做出了行动:

“我们展示了这种低效率怎么成为瓶颈,并大概被用来对递归解析器和权威服务器之一或两者发起毁灭性攻击。”

“我们发觉,在一具典型的解决过程中交换的DNS信息的数量大概在实践中比估计的理论更多,要紧是由于名称服务器的IP地址的主动分辨率更高,”该研究人员讲。

而且,使用Mirai等僵尸网络作为DNS客户端能够进一步扩大攻击范围。

新的DNS漏洞使攻击者DDoS高防可以发起大规模DDoS攻击

“新攻击的关键要素是

研究人员讲,为了经过递归解析器发起攻击,攻击者必须拥有一台权威服务器。

接着,DNS服务器将查询转发到所有不存在的子域,从而导致到受害站点的流量激增。

漏洞称为NXNSAttack,缺陷在于DNS委派机制迫使解析器向攻击者挑选的权威服务器生成更多DNS查询,从而大概导致僵尸网络规模的在线服务中断。

研究人员总结讲:“我们的最初目标是研究递归解析器的效率及其在不同攻击下的行为,最后来找到了一具新的,看上去特别有讲服力的漏洞NXNSAttack。”

该解决方案通常从由您的ISP或Cloudflare(1.1.1.1)或Google(8.8.8.8)之类的公共DNS服务器操纵的DNS解析器开始,不管您使用系统中的哪种配置。

假如解析器无法找到给定域名的IP地址,则它将请求传递给权威DNS名称服务器。

NXNSAttack经过向易受攻击的DNS解析服务器发送攻击者操纵的域(例如attacker.com)的请求工作,该请求会将DNS查询转发到攻击者操纵的权威服务器。

(i)拥有或操纵权威名称服务器

攻击者操纵的权威服务器没有将地址返回到实际的权威服务器,而是用于指向受害者DNS域中,受威胁者操纵的伪造服务器名称或子域的列表,来响应DNS查询。

以色列网络安全研究人员披露了有关阻碍DNS协议的新缺陷的详细信息,该缺陷可被利用来发起放大DDoS攻击,以击倒目标网站。

然而,假如第一具权威DNS名称服务器也不保存所需的记录,则它将带有地址的托付消息返回到下一具DNS解析器能够查询的权威服务器。

那个分层过程向来举行到DNS解析器到达提供域IP地址的正确的权威服务器为止,从而允许用户访咨询所需的网站。

研究人员讲,这种攻击能够将递归解析器交换的数据包数量放大多达1,620倍,不仅使DNS解析器无法处理更多请求,最后来目标是淹没目标域。

新的DNS漏洞使攻击者DDoS高防可以发起大规模DDoS攻击

包括PowerDNS(CVE-2020-10995),CZ.NIC(CVE-2020-12667),Cloudflare,谷歌,亚马逊,微软,甲骨文拥有的Dyn ,Verisign和IBM Quad9已对其软件举行了修补,以解决该咨询题。

一具递归DNS寻找发生在一具层次序列与多个权威DNS服务器DNS服务器举行通信,以定位(例如)与域关联的IP地址,并将其返回给客户端。

DNS基础设施往常向来是经过臭名昭著的Mirai僵尸网络(包括2016年针对Dyn DNS服务类型的网络攻击)发动DDoS攻击,破坏了包括Twitter,Netflix,Amazon和Spotify在内的一些世界上最大的站点。

(ii)名称服务器使用不存在的域名

换句话讲,权威服务器告诉递归解析器:“我不懂答案,去查询这些以及这些名称服务器,例如ns1,ns2等”。

新的DNS漏洞使攻击者DDoS高防可以发起大规模DDoS攻击

新的DNS漏洞使攻击者DDoS高防可以发起大规模DDoS攻击


DDoS防御

当前位置:主页 > CC防护 > 新的DNS漏洞使攻击者DDoS高防能够发起大规模DDoS攻击

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119