科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全多省份DNS系统遭遇DDoS攻击实录

多省份DNS系统遭遇DDoS攻击实录

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

国家首届网络信息安全宣传周才刚刚过去, 12月10日就爆发了国内今年规模最大的针对运营商DNS网络的恶性DDoS攻击事件。攻击正在发生,后续可能有很多变化,先来分析一下,截至目前发生的事情。

来源:ZDNet安全频道 2014年12月14日

关键字: DNS DDos

  • 评论
  • 分享微博
  • 分享邮件

国家首届网络信息安全宣传周才刚刚过去, 12月10日就爆发了国内今年规模最大的针对运营商DNS网络的恶性DDoS攻击事件。攻击正在发生,后续可能有很多变化,先来分析一下,截至目前发生的事情。

攻击背景:

从12月10日凌晨开始,现网监控到攻击流量突增的情况,到上午11点开始,攻击开始活跃,多个省份不断出现网页访问缓慢,甚至无法打开等故障现象。下图是某省运营商的流量监控截图,从图中可看出正常访问流量都在百兆以内,高峰时竟然出现了高达6G的攻击混合流量,对DNS网络的冲击可想而知。

多省份DNS系统遭遇DDoS攻击实录

捕获到的攻击样本如下图所示:

多省份DNS系统遭遇DDoS攻击实录

被攻击域名1

多省份DNS系统遭遇DDoS攻击实录

被攻击域名2

经过分析样本发现,12月10日的攻击主要是针对多个域名(包括arkhamnetwork.org、arkhamnetwork.com、getfastinstagramfollowers.net)的随机查询攻击;11日凌晨攻击出现变种,出现针对其他域名的攻击,攻击源主要来自各省内。攻击者不仅在短暂的时间内发起了峰值大于6G bps的查询请求(全国范围内大于100G的攻击),而且连续的变换二级域名,造成各省的DNS递归服务器延迟增大,核心解析业务受到严重影响。

攻击过程介绍:

如下图是DNS的结构图,这次攻击发起的方式有两种可能:一是攻击者控制了大量被攻击省内的肉鸡;二是利用攻击工具模拟被攻击省份的内网IP。向DNS的递归节点发起随机域名Flood,由于二级域名随机,且在递归服务器的缓存中并不存在,递归服务器需要不断的迭代去查询最终的结果,从而能进一步加剧了递归服务器的负载,造成服务器性能耗尽。

多省份DNS系统遭遇DDoS攻击实录

DNS结构图

攻击者调用大量肉鸡发起针对多个域名的随机查询攻击,由于本地DNS服务器上没有相应的记录,需要向外递归查询,极大的消耗了服务器性能。

多省份DNS系统遭遇DDoS攻击实录

DNS攻击发起时过程图

攻击防护:

本次攻击仍在继续,攻击的动机不明确,所以暂时不能从根源处彻底解决问题。网络的运维人员只能见招拆招,灵活应对。

在防护工具的选择上,建议用具备专业DDoS防护能力的专业设备。因为基础的网络安全设备(FW、IPS等)不具备精准识别此类攻击的能力,而且他们在攻击过程中,本身就是脆弱的,极易成为第一块倒下的多米诺骨牌;其次设备的处理性能要高,本次攻击从目前监测到的数据看,峰值流量已经接近10G,要求防护设备具备高性能的特点。

在具体部署中,建议旁路部署,借助灵活的路由策略可实现清洗能力的共享。清洗能力可轻松覆盖全省,不留死角。

最后,在应急响应支持团队的支持中,要联系应急支持服务经验丰富的团队,以免造成大面积断网。

绿盟科技攻防团队在监控到攻击发生后,立即启动应急处理流程,截至目前,协助处理的各省的DDoS攻击现象均已得到有效控制。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章