DNS 放大攻击的工作原理是利用域名系统 (DNS) 协议。客户端通过该协议向服务器发送 DNS 查询,以获取请求的域名或 IP 地址。服务器随后进行处理并作出回应,返回资源记录,这些记录可用于查找主机和其他网络资源。
DNS 放大攻击是一种分布式拒绝服务 (DDoS) 攻击,攻击者利用易受攻击的 DNS 服务器发送大量合法流量。DNS 放大攻击的目的是向目标系统注入海量数据,导致合法用户无法正常使用目标系统。
为了发动 DNS 放大攻击,攻击者使用易受攻击或配置错误的服务器发送的恶意域名系统 (DNS) 消息产生大量流量。攻击者喜欢此类攻击手段的原因是,与其他 DDoS 攻击相比,欺骗性源 IP 地址的隐蔽性更强,执行攻击的成本相对较低。
什么是 DNS?
DNS 代表域名系统。DNS 协议提供了将域名(例如 www.example.com)关联到相应 IP 地址(例如 192.168.1.1)的方式。DNS 服务器相当于互联网的“电话簿”,接入互联网的每个设备均通过 DNS 服务器访问该网络中的网站和其他服务。所有域名均在互联网服务提供商 (ISP) 处登记,DNS 有助于将全球用户的流量路由到正确网页或指定域名/IP 地址组合托管的其他资源。
借助 Akamai 防范 DNS 放大攻击和 DDoS 攻击
Akamai 提供端到端的 DDoS 防护充当第一道防线,通过专用边缘、分布式 DNS 和云抵御策略提供保护,从而防止附带损害和单点故障。我们专门构建的 DDoS 云提供专用的净化容量和更高的抵御质量,可以根据 Web 应用程序或基于互联网的服务的具体要求进行微调。
Akamai Prolexic 是一种阻止 DNS 放大攻击和其他 DDoS 攻击的有效方法,这是一个经过战斗考验的云净化服务,可以保护整个数据中心和面向互联网的基础架构在所有端口和协议上免受 DDoS 攻击。借助 Prolexic,在全球分布式高容量净化中心通过 BGP 广播路由流量,我们的安全运营指挥中心 (SOCC) 可在此部署主动和/或自定义抵御控制措施,以立即阻止攻击。通过将流量路由到附近的净化中心,Prolexic 可在更靠近攻击源头的位置阻止攻击,从而尽可能为用户提高性能,并通过云端分布保持网络复原力。净化完毕后,干净流量通过逻辑或专用活动连接返回客户源站。
Prolexic 有“不间断”或“按需”两种服务形式,可基于混合源站间的安全态势需求,提供灵活的集成模型。
利用 Akamai Prolexic,您的安全团队可以:
- 通过主动抵御控制措施和 Prolexic 的零秒 SLA,降低 DDoS 攻击的风险
- 在不影响抵御质量的情况下,阻止高度复杂的 SSL/TLS 耗尽 DDoS 攻击
- 通过在整个企业内一致地应用 DDoS 抵御策略来统一安全态势(无论应用程序托管在何处)
- 优化事件响应,通过服务验证演练、自定义操作手册和操作准备演练来确保业务连续性
- 通过我们的全托管式解决方案来扩展安全资源,该解决方案由超过 225 名一线 SOCC 响应人员提供支持
常见问题
放大攻击是一种网络攻击,攻击者发送较大请求(例如到域名系统 (DNS) 服务器或互联网控制消息协议 (ICMP) 的 ping),并接收发回的超大响应。攻击者可通过放大请求向目标网络或服务发动 DDoS 攻击。发回的响应越大,可以生成的流量越多,进而对目标 Web 服务器或其他网络资源造成了额外的压力。计算机系统中的漏洞为此类攻击大开方便之门,使恶意操作者能够通过伪装的发送者地址发送请求,同时将其原始请求放大数倍。
放大攻击是一种网络攻击,攻击者发送较大请求(例如到 DNS 服务器或 ICMP 的 ping),并接收发回的超大响应。这会放大来自发送者的流量,攻击者可借此向目标网络或服务发动 DDoS 攻击。
反射攻击属于另一种 DDoS 攻击,它利用互联网服务器的漏洞通过伪装的发送者地址发送请求,以反射回承载所反射协议的网络中的有效组成部分。此类攻击会生成多个请求副本,利用大量流量对目标网络或服务进行泛洪攻击,导致合法用户难以访问资源。但反射攻击与放大攻击差别在于,发回的数据量没有增加;仅从多个有效目标反射回一个请求,导致流量增加但未产生放大效果。
其中一个防范 DNS 攻击的有效方法是,确保您的服务器配置安全并进行及时更新。这可能包括确保在公共服务器上禁用对递归查询的支持,以及通过配置防火墙规则阻止来自已知攻击源的传入请求。另外,建议通过速率限制策略来限制单个 IP 地址或子网允许的请求数。
使用入侵检测系统 (IDS) 或入侵防护系统 (IPS) 等网络安全工具也有助于检测和防范 DNS 放大攻击。您可配置这些系统以查找恶意数据包的某些特征,例如具有指示欺骗性源地址的特定标志集的特定查询或响应等。另外,许多更新的 IDS/IPS 系统具备检测和防范 DNS 放大攻击的内置功能。
为了进一步降低攻击风险,务必及时安装安全修补程序,确保及时更新软件。由于攻击者可以利用过期软件的漏洞,因此及时更新软件可有效降低您的网络受到 DNS 放大攻击的可能性。另外,请务必定期监控网络流量,观察可疑行为,例如单个来源的查询和响应量异常大,或者短期发送大量请求。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。