基本原理
利用域名解析伺服器不驗證請求源的弱點,攻擊者偽裝成攻擊目標域名向全世界數以百萬計的域名解析伺服器傳送查詢請求,域名伺服器返回的數據要遠大於請求的數據,導致目標遭受了放大數十倍的DDoS攻擊。被利用的域名伺服器因此每天會收到大量的惡意請求,它也不斷的遭受較小規模的DDoS攻擊。
攻擊原理
所謂的拒絕服務攻擊就是通過占滿伺服器的所有服務執行緒或者網路頻寬,導致正常的服務請求無法得到回響,致使伺服器處於癱瘓的狀態。DoS攻擊一般是針對WWW伺服器,SMTP伺服器等。眾所周知,正常的一次TCP會話首先通過三次協商握手才能完成,首先客戶機向目標伺服器傳送帶有SYN的會話請求,然後伺服器向客戶機向客戶機傳送回復訊息,最後還需客戶機再回送一個確認訊息。如果客戶機傳送的請求包裡面的源IP位址是不可達的IP位址,那么伺服器發出的回覆訊息將永遠得不到確認,此時伺服器一位是網路擁塞等問題,一直再等待確認訊息和重發回訊息,而且時間周期越來越長。試想如果客戶機傳送大量的這樣的無效請求,那么伺服器的服務執行緒就會瞬時被占滿。
攻擊方式
DoS是Denial of Service的簡稱,即拒絕服務攻擊,造成攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路頻寬攻擊和連通性攻擊。
1、頻寬攻擊。頻寬攻擊指以極大的通信量衝擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法的用戶請求無法通過。
2、連通性攻擊。連通性攻擊指用大量的連線請求衝擊計算機,使得所有可用的作業系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。常用的攻擊手段有:同步洪流、Land攻擊、Ping洪流、UDP攻擊、OOB等。
防範措施
具體的防範措施如下:
1、防止此類攻擊的一種方法是實現DNSSEC,驗證DNS請求源的身份。但舊的DNS基礎架構很難改變。現在,推出了虛擬DNS服務,為域名解析伺服器提供基於雲端的DNS查詢和快取代理服務,驗證請求源的身份。
2、防火牆防禦。防火牆是防禦DoS攻擊最有效的方法。目前很多廠商的防火牆都注入了專門針對DoS攻擊的功能。現在防火牆中防禦DoS攻擊的主流技術主要有兩種:連線監控和同步網關。
3、路由器防禦。路由器作為整個網際網路的組網設備,可以通過路由器一些訪問控制和QoS設定功能來達到防禦DoS的目的。
4、系統防禦。每個作業系統都有一些參數用來設定TCP/IP的運行性能,修改這些參數用來防禦DoS也有一定效果,但是這只是輔助措施。