51fyvg.com- 乐天堂app下载学习从此开端!
DIY硬件教程攒机经历装机装备
规划Photoshop网页规划特效
体系注册表DOS体系指令其它
存储主板显卡外设键鼠内存
修理显卡CPU内存打印机
WinXPVistaWin7unix/linux
CPU光驱电源/散热显示器其它
修技主板硬盘键鼠显示器光驱
作业ExcelWordPowerPointWPS
编程数据库CSS脚本PHP
网络局域网QQ服务器
软件网络体系图画安全

什么是DNS扩展进犯

乐天堂app下载软硬件运用网 51fyvg.com 时刻:2014-05-08 10:56 作者:佚名
DNS扩展进犯(DNS amplification attacks)是一种数据包的很多变体能够发作针对一个方针的很多的虚伪的通讯。这种虚伪通讯的数量有多大?每秒钟达数GB,足以阻挠任何人进入互联网。 与旧式的smurf attacks进犯十分类似

      DNS扩展进犯(DNS amplification attacks)是一种数据包的很多变体能够发作针对一个方针的很多的虚伪的通讯。这种虚伪通讯的数量有多大?每秒钟达数GB,足以阻挠任何人进入互联网。

  与旧式的“smurf attacks”进犯十分类似,DNS扩展进犯运用针对无辜的第三方的诈骗性的数据包来扩展通讯量,其意图是耗尽受害者的悉数带宽。可是,“smurf attacks”进犯是向一个网络播送地址发送数据包以到达扩展通讯的意图。DNS扩展进犯不包括播送地址。相反,这种进犯向互联网上的一系列无辜的第三方DNS服务器发送小的和诈骗性的问询信息。这些DNS服务器随后将向表面上是提出查询的那台服务器发回很多的回复,导致通讯量的扩展而且终究把进犯方针吞没。因为DNS是以无状况的UDP数据包为根底的,采纳这种诈骗办法是习以为常的。

  在2005年之前,这种进犯首要依托对DNS施行60个字节左右的查询,回复最多可达512个字节,从而使通讯量扩展8.5倍。这关于进犯者来说是不错的,可是,仍没有到达进犯者期望得到了吞没的水平。最近,进犯者采用了一些更新的技能把现在的DNS扩展进犯提高了好几倍。

  当时许多DNS服务器支撑EDNS。EDNS是DNS的一套扩展机制,RFC 2671对次有介绍。一些挑选能够让DNS回复超越512字节而且依然运用UDP,假如要求者指出它能够处理这样大的DNS查询的话。进犯者现已运用这种办法发作了很多的通讯。经过发送一个60个字节的查询来获取一个大约4000个字节的记载,进犯者能够把通讯量扩展66倍。一些这种性质的进犯现已发作了每秒钟许多GB的通讯量,关于某些方针的进犯乃至超越了每秒钟10GB的通讯量。

  要完成这种进犯,进犯者首要要找到几台代表互联网上的某个人施行循环查询作业的第三方DNS服务器
(大多数DNS服务器都有这种设置)。因为支撑循环查询,进犯者能够向一台DNS服务器发送一个查询,这台DNS服务器随后把这个查询
(以循环的办法)发送给进犯者挑选的一台DNS服务器。接下来,进犯者向这些服务器发送一个DNS记载查询,这个记载是进犯者在自己的DNS服务器上操控的。因为这些服务器被设置为循环查询,这些第三方服务器就向进犯者发回这些恳求。进犯者在DNS服务器上存储了一个4000个字节的文本用于进行这种DNS扩展进犯。
  现在,因为进犯者现已向第三方DNS服务器的缓存中加入了很多的记载,进犯者接下来向这些服务器发送DNS查询信息

(带有启用很多回复的EDNS选项),并采纳诈骗手法让那些DNS服务器以为这个查询信息是从进犯者期望进犯的那个IP地址宣布来的。这些第三方DNS服务器所以就用这个4000个字节的文本记载进行回复,用很多的UDP数据包吞没受害者。进犯者向第三方DNS服务器宣布数百万小的和诈骗性的查询信息,这些DNS服务器将用很多的DNS回复数据包吞没那个受害者。

  怎么防护这种大规模进犯呢?首要,确保你具有满足的带宽承受小规模的洪水般的进犯。一个单一的T1线路关于重要的互联网衔接是不行的,因为任何歹意的脚本少年都能够消耗掉你的带宽。假如你的衔接不是履行重要任务的,一条T1线路就够了。不然,你就需求更多的带宽以便承受小规模的洪水般的进犯。不过,几乎任何人都无法承受每秒钟数GB的DNS扩展进犯。

  因而,你要确保手边有能够与你的ISP随时取得联络的应急电话号码。这样,一旦发作这种进犯,你能够立刻与ISP联络,让他们在上游过滤掉这种进犯。要辨认这种进犯,你要查看包括DNS回复的很多通讯
(源UDP端口53),特别是要查看那些具有很多DNS记载的端口。一些ISP现已在其整个网络上布置了传感器以便检测各种类型的前期很多通讯。这样,你的ISP很或许在你发现这种进犯之前就发现和避免了这种进犯。你要问一下你的ISP是否具有这个才能。

  最终,为了协助阻挠歹意人员运用你的DNS服务器作为一个施行这种DNS扩展进犯的署理,你要确保你的能够从外部拜访的DNS服务器仅为你自己的网络履行循环查询,不为任何互联网上的地址进行这种查询。大多数首要DNS服务器具有约束循环查询的才能,因而,它们仅承受某些网络的查询,比方你自己的网络。经过阻挠坏蛋运用循环查询装载大型有害的DNS记载,你就能够避免你的DNS服务器成为这个问题的一部分。

顶一下
(1)
100%
踩一下
(0)
0%
------分隔线----------------------------
宣布谈论
请自觉遵守互联网相关的政策法规,禁止发布色情、暴力、反抗的言辞。
点评:
表情:
验证码:点击我替换图片
引荐常识