当前位置 > IT产业 > 新闻 > 利用网络回溯分析技术解决某公司网络瘫痪故障
利用网络回溯分析技术解决某公司网络瘫痪故障
一、背景知识
1. DNS的基本原理
DNS是域名系统(domain name system)的缩写,DNS服务器是域名管理系统,他的作用是把域名转换成网络中计算机可识别的IP。
2. DNS放大攻击的基本原理
DNS放大攻击时一种新型的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪。
3. DNS放大攻击的特性
(1)充分利用了DNS服务器的特性,作为黑客的“攻击放大器”。
(2)攻击流量大。2005年之前,攻击者能向DNS服务器发出60个字节查询请求,返回512个字节的响应。现在通过攻击可产生100G/S回应,这是非常致命的。
(3)可依靠僵尸网络发布攻击,形成极大的攻击流量,本身具有隐藏性。
copyright dedecms
二、分析过程
XX.XX.29.4为客户的DNS服务器上海某单位的DNS服务器,需要对外提供DNS服务。该客户部署科来网络回溯分析系统后,在可疑域名警报中触发了大量警报。 copyright dedecms
copyright dedecms
图1 织梦好,好织梦
发现198.24.157.245(经查为美国IP)在短时间内向XX.XX.29.4服务器发送了大量的DNS请求,请求的域名为dnsamplicationattacks.cc。(DNS Amplification Attacks字面意思就是DNS放大攻击。)
图2
198.24.157.245发出的请求包为101字节,DNS服务器返回的应答包为445字节,从而使通信流量放大了4.4倍。
copyright dedecms
dedecms.com
在本例中客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中,攻击过程见下图。
图4
三、分析结论
攻击者利用大量被控主机在短时间内向大量的DNS服务器(XX.XX.29.4)发送DNS请求,查询应答包会比查询请求包大4.4倍,造成大量流量发送到伪造的源IP地址(198.24.157.245),形成对该IP地址的拒绝服务攻击。
织梦内容管理系统
(IT产业网小编:张编)
相关新闻更多新闻>>
- ·大健康产业新势力强势登陆“新三板”!01-18
- ·园林绿化门户——中国最全面的园林绿化APP平台07-27
- ·盒子科技与分众传媒强强联手 智慧门店实现共赢发展11-20
- ·济源的春天就是这么美!赏花地图送给你,走起!03-24
- ·合发房银董事长万百万受邀出席2017中国长城论坛11-09
- ·春季宝宝如何补水 利其尔Richell塑料水杯少不了03-25
- ·成都健丽整形医院如何去除眼袋11-01
- ·9102年最有前景的投资,民宿房东轻松月入上万!03-04
- ·致远携手用友助力企业掌控互联网新机遇09-17
- ·达达乐投谈网贷试点备案政策及“破局”之道05-20