• 首 页
  • 产品介绍
  • 视频教程
  • 下载与安装
  • 购买与试用
  • 关于我们
  • 赶忙修正DNS服务器!不然能够沦为DDoS攻击者的爪牙

    时间:2013-04-15 11:04来源:未知 作者:admin 点击:
    尽管近来对于欧洲反垃圾邮件安排Spamhaus发起的大规模DDoS进犯其损害程度不如早期风闻宣称的那么大,可是此事情值得重视的缘由在于,它们暴露了互联网很多底子薄弱环节傍边的几个。其间一个即是开放式DNS解析器,这种解析器为一种名为DNS扩大(DNS amplifica
      

    尽管近来对于欧洲反垃圾邮件安排Spamhaus发起的大规模DDoS进犯其损害程度不如早期风闻宣称的那么大,可是此事情值得重视的缘由在于,它们暴露了互联网很多底子薄弱环节傍边的几个。其间一个即是开放式DNS解析器,这种解析器为一种名为DNS扩大(DNS
    amplification)的进犯方法供给了可趁之机。而这种进犯方法具体指,方针效劳器每向外发送1个字节,进犯者就向这些效劳器发送多达100个字节的网络拥塞流量。


    既有技能特长又有影响力的有关安排会不会开端以一种整体性、实质性的方法处理这些缺乏,然后进步互联网的安全性,这仍需拭目而待。惋惜的是,恐怕需求发作破坏性和损害性更大的安全事情才会促进有关安排活跃举动起来。


    卡巴斯基安全新闻网站Threat
    Post刊登了一篇精彩的报导(详见http://threatpost.com/en_us/blogs/open-dns-resolvers-center-stage-massive-ddos-attacks-032813),浅显易懂地分析了开放式解析器、DNS扩大进犯及其在对于Spamhaus的DDoS进犯中扮演的人物:


    这方面休戚相关的一个底子性、普遍性的疑问与开放式DNS解析器被用来对于瑞士这家反垃圾邮件安排发起DDoS进犯有关。开放式解析器在送回DNS答复之前并不对数据包发送者的IP地址进行验证。因而,进犯者骗过受害者IP地址后,就可以向受害者发送很多的进犯流量,进犯流量与恳求流量之比达到了100:1。诸如此类的DNS扩大进犯近来被黑客举动主义者、敲诈勒索者以及上了黑名单的网站主机所运用,并且大获成功。


    开放式DNS解析器项目安排的Jared Mauch通知Threat
    Post,参加Spamhaus进犯的僵尸网络运用了30000多个一起的DNS解析器,"若是施行一同更大规模的进犯,这些解析器的一起威力可以会被不法分子用来让这个全球网络的大部分体系堕入瘫痪。"


    据Threat
    Post宣称,处理办法即是:"开放式DNS解析器项目安排及其他安排(如DNS效劳供给商Afilias)主张施行源地址验证机制。现已存在的IETF RFC,
    BCP-38(详见http://tools.ietf.org/html/bcp38)具体清晰了怎么运用源地址验证机制,以及怎么树立这种架构,以挫折IP源地址诈骗方法。"


    别的,体系办理员Trevor Pott在The
    Register网站上宣布了一篇内容详尽的博文(详见http://www.theregister.co.uk/2013/03/28/i_accidentally_the_internet/),他坦白个人无意中沦为了DDoS进犯的爪牙,原因是"他在建立坐落其网络边际上的一台DNS效劳器时,犯下了一个简略的装备过错。"他称之为充任路由器的"边际洗涤器"(edge
    scrubber),它向数据中心里边的效劳器和路由器分发IP地址。它还代表网络上的一切其他设备,"起到了各种"单调粗活"的功用"。它是数据中心/本地网络时刻效劳器、外部DNS效劳器、边际效劳器和带宽限制器。


    他表明,疑问在于,他忘了禁用效劳器上的递归查询,这使得他那台效劳器成了被DNS扩大进犯使用的一个东西。他解说:"DNS效劳器可以以两种根本方法傍边的一种方法来装备。在一种可以的装备下,DNS效劳器只为它担任效劳的目标供给域名效劳(指令式)。在另一种装备下,DNS效劳器除了供给那些域名效劳外,还在更广泛的互联网上寻觅它本来无权办理的任何域(递归式)。正是递归式DNS效劳器让互联网得以正常运转。它们也是一种进犯方法。"


    他具体地解说了怎么修正他那台效劳器存在的装备疑问。简而言之,疑问源自于这种假定:BIND(完成DNS协议的体系)在默许情况下禁用递归;处理办法需求"指令BIND只受理来自其数据中心里边的效劳器的递归恳求。"

      擎企网络-中小企业免费网络安全产品和服务提供商 小草网管软件-企业级网络管理系统

    (责任编辑:admin)
    顶一下
    (0)
    0%
    踩一下
    (0)
    0%
    ------分隔线----------------------------
    网站地图|版权所有 ©2013 北京擎企网络技术有限公司 | 京ICP备1500号 | 4000-510-720

    分享到:

    收缩
    • QQ咨询

    • 技术支持服务1
    • 点击这里给我发消息
    • 技术支持服务2
    • 点击这里给我发消息
    • 技术支持QQ群
    • 326434859 313011089
    •    扫一扫
    •