DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防cdn_cdn安全防御_限时优惠

05-03 DDOS防御

香港高防cdn_cdn安全防御_限时优惠

DNS反射攻击在许多分布式拒绝服务(DDoS)攻击中被用来摧毁internet管道。该攻击是两步式攻击;攻击者使用目标受害者的伪造源IP向一个或多个合法DNS服务器发送大量请求。接收半合法请求的DNS服务器对欺骗的IP做出响应,从而在不知情的情况下对目标受害者发起攻击,并对受害者从未发送的请求作出响应。因特网上到处都是以开放的解析程序提供的DNS服务器,这些服务器将为发送给它们的任何请求提供服务,有些报告称其数量为数百万。这个巨大的数字使得很难使用IP信誉来预先识别攻击。此外,这些服务器实际上是合法的服务器,通常发送合法的流量,ddos最好的防御方式,这使得任何IP信誉服务混淆其性质是否是恶意的。大多数DNS查询是使用UDP发送的,UDP是一种不启用源IP验证的协议。这就是为什么中间DNS服务器假定请求来自受害者,并将响应发送回给他。IP欺骗使得受害者服务器很难检测到攻击者,因为它看起来像是受到合法DNS服务器的攻击,而且攻击者的IP是完全隐藏的。IP欺骗还会使IP信誉服务失效,如果写得不正确,可能会给合法的DNS服务器分配坏的信誉。它还消除了安全部门希望识别攻击源的任何可跟踪性。欺骗的另一个优点是能够攻击任何服务器或服务。攻击者可以使用受害者的公共服务器IP和端口来确保将攻击发送到任何服务,而不仅仅是DNS服务。流量看起来就像很多数据,服务器必须解析和检查数据,以确保它不是合法的流量。请注意,IP欺骗也是此攻击的一个限制–如果IP欺骗不可能,则无法启动攻击,因为无法将响应定向到受害者的IP。这就是Mirai机器人在执行NAT的路由器后面的物联网设备上运行的情况。然而,最近的Mirai感染策略是针对家庭路由器本身,从而绕过了NAT的限制。反射性DNS洪水的最新和最大的优势是放大,可以通过DNS扩展(EDNS0,在rfc2671中定义)和DNSSec来实现。EDNS0允许DNS响应大于最初允许的512,而DNSSec允许验证响应以防止缓存中毒。DNSSec要求EDNS0操作,因为它将加密数据添加到响应中。由于DNSSec在当今具有安全意识的internet中越来越流行,ddos高防ip防御原理,它使得越来越多的DNS服务器支持EDNS0,并允许攻击者对其请求做出较大的响应。变量rnd=窗口.rnd|| 数学地板(数学随机()*10e6);var pid276005=窗口.pid276005||rnd;变量plc276005=窗口.plc276005||0;无功功率=窗口.abkw|| '';var absrc='https://servedbayadbutler.com/adserve/;ID=168379;size=0x0;setID=276005;type=js;sw='+屏幕宽度+';嘘='+屏幕高度+';spr='+窗口设备像素比率+';kw='+abkw+';pid='+pid276005+';位置='+(plc276005++)+';rnd='+rnd+';click=单击"宏"占位符';文档.写入('');响应的可能大小(高达4096字节)允许攻击者发送少量的短请求,而DNS服务器发送的回复则被大大放大,耗尽了受害者的互联网管道。攻击者可以研究DNS服务器,找出哪些合法查询会导致大的响应,还可以使用DNSSec通过加密数据使它们变得更大。在许多情况下,阿里云ddos防御,响应最多可达4096字节,这为原始请求提供了x100的放大系数。[您可能还喜欢:DNS和DNS攻击]在当今互联网连接规模庞大的情况下,100米的互联网连接本身就可以发出适度的攻击,但仍会对正常网站造成一定的损害。但是,如果攻击者能够使用4096字节的巨大响应来处理其44字节的请求并获得100倍的放大,则受害者服务器将收到10G的攻击流量,高于其正常流量带宽。这种流量将导致任何正常服务立即停止服务。想象一下,即使只有很少的僵尸网络也能实现什么。除了响应的大小之外,还出现了这样一个事实:这些响应不能放入一个正常的IP包中。在这种情况下,服务器使用IP碎片选项,这允许它们将消息分成几个包。在攻击中使用碎片化流量会使攻击缓解变得更加困难–防御程序需要将第一个数据包的第4层数据(UDP端口)存储在表中,并将其应用于来自同一消息的其余数据包。许多网络实体被大量碎片化的流量快速耗尽,这使得这种攻击更加有效。Radware的YouTube DNS放大攻击视频生动地说明了反射式DNS攻击的结构和流程。在了解了DNS反射攻击的所有细节之后,还有一件事要做——如何保护组织免受此类攻击并减轻它?与攻击本身的复杂性不同,这个问题有一个已知的解决方案-为了减轻DNS反射攻击,您必须在现场有一个好的检测器来快速检测攻击并防止停机。探测器应该足够聪明,能够理解它所看到的攻击正在使互联网连接饱和,cc防御ddos防御,流量需要转移到一个云净化中心。一旦流量被转移到云清理,它将被清理并发送到站点。清理本身取决于被视为合法的类似流量的大小-站点是否看到大量UDP流量?DNS流量?支离破碎的交通?如果是这样,它与攻击流量有什么区别?使用自动化技术来分离合法流量和攻击流量将给您带来良好和快速的云缓解,同时也会带来一些安心。有关更多信息,请查看我以前的博客:DNS和DNS攻击阅读"为未受保护的API创建安全环境"以了解更多信息。立即下载

,腾讯香港云服务器ddos防御

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/50296.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6804596访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X