新闻详情

DNS前沿 | 利用DNS查询与响应的新型DoS攻击——“DNSBomb”

17
发表时间:2024-06-19 17:57
图片


来源:本文源自cybersecuritynews,由ZDNS进行翻译,内容有所修改

原文链接:https://cybersecuritynews.com/new-dos-attack-dnsbomb-exploiting/

关键词:域名安全 DNS攻击 DoS/DDOS攻击


引言


据cybersecuritynews报道,网络安全研究人员揭示了一种新型且强大的拒绝服务(DoS)攻击,名为“DNSBomb”。

该攻击利用域名系统(DNS)的固有机制,制造出一种强大的脉冲式DoS攻击,对互联网基础设施构成重大威胁。



利用DNS机制的漏洞:DNSBomb攻击详解


DNSBomb利用了几种常见的DNS机制,包括超时(timeout)、查询聚合(query aggregation)和快速返回响应(fast-returning response)。这些机制原本旨在确保DNS系统的可用性、安全性和可靠性,但在攻击者的巧妙设计下,却被转化为恶意的攻击工具。


通过以低速率发送DNS查询,并将这些查询放大成大规模响应,DNSBomb将所有DNS响应集中成短时间内的高频次周期性脉冲攻击。这样的攻击方式使得DNS系统在短时间内承受巨大的流量压力,导致网络资源的严重消耗和服务的中断。


图片

这种高频次周期性脉冲攻击可以同时瘫痪目标系统,导致丢包或严重的服务降级,影响包括TCP、UDP和QUIC在内的各种连接类型。



DNSBomb威胁模型:

对主流DNS软件和服务的严峻考验


研究人员在10款主流DNS软件、46个公共DNS服务和约180万个开放DNS解析器上广泛评估了DNSBomb。结果令人震惊:所有测试的DNS解析器都可以被利用来进行比以往脉冲DoS攻击更实用且更强大的DNSBomb攻击。


小规模实验表明,峰值脉冲幅度可接近8.7Gb/s,带宽放大倍数超过20,000倍。这些结果突显了DNSBomb对全球互联网服务造成重大破坏的潜力。



缓解措施与行业响应:

应对DNSBomb攻击的多方协作


针对DNSBomb攻击的发现,研究人员提出了有效的缓解方案,并已将这些发现报告给所有受影响的供应商。供应商们正在积极应用这些解决方案来修补其软件。此外,已有10个CVE-ID被分配用于解决DNSBomb利用的漏洞。


研究人员强调,任何能够聚合“事物”的系统或机制,如DNS和内容分发网络(CDN),都可能被利用来构建脉冲DoS流量。网络安全社区被敦促加入进一步调查和缓解DNSBomb威胁的努力。



ZDNS云端智能防护 :

本地+云端打造抗DOS/DDOS攻击神器


DNSBomb的研究突显了在面对不断演变的网络威胁时,保持持续警惕和创新的重要性。


针对目前频发的DOS/DDOS攻击,ZDNS自主研发了外网DNS安全防护和应急接管产品——ZDNS云端智能防护。面对高脉冲流量攻击,云端的DNS权威解析服务通过分布式的架构部署,可弹性扩展的资源,具备强大的计算能力和带宽储备,其抗攻击能力相比传统自建解析集群有了数量级提升。


此外,为了保证极致安全,ZDNS云端智能防护具备了DNS抗D备份服务,兼容多种专业解析设备,当自建设备故障无法提供解析服务时,通过快速将DNS请求全部迁移到云端,实现解析服务快速逃生,保障服务的可用性。


产品试用及方案咨询

图片

扫描二维码 | 了解更多


_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________