DNS前沿 | 利用DNS查询与响应的新型DoS攻击——“DNSBomb”62
发表时间:2024-06-19 17:57 ![]() 来源:本文源自cybersecuritynews,由ZDNS进行翻译,内容有所修改 原文链接:https://cybersecuritynews.com/new-dos-attack-dnsbomb-exploiting/ 关键词:域名安全 DNS攻击 DoS/DDOS攻击 引言 据cybersecuritynews报道,网络安全研究人员揭示了一种新型且强大的拒绝服务(DoS)攻击,名为“DNSBomb”。 该攻击利用域名系统(DNS)的固有机制,制造出一种强大的脉冲式DoS攻击,对互联网基础设施构成重大威胁。 利用DNS机制的漏洞:DNSBomb攻击详解 DNSBomb利用了几种常见的DNS机制,包括超时(timeout)、查询聚合(query aggregation)和快速返回响应(fast-returning response)。这些机制原本旨在确保DNS系统的可用性、安全性和可靠性,但在攻击者的巧妙设计下,却被转化为恶意的攻击工具。 通过以低速率发送DNS查询,并将这些查询放大成大规模响应,DNSBomb将所有DNS响应集中成短时间内的高频次周期性脉冲攻击。这样的攻击方式使得DNS系统在短时间内承受巨大的流量压力,导致网络资源的严重消耗和服务的中断。 ![]() 这种高频次周期性脉冲攻击可以同时瘫痪目标系统,导致丢包或严重的服务降级,影响包括TCP、UDP和QUIC在内的各种连接类型。 DNSBomb威胁模型: 对主流DNS软件和服务的严峻考验 研究人员在10款主流DNS软件、46个公共DNS服务和约180万个开放DNS解析器上广泛评估了DNSBomb。结果令人震惊:所有测试的DNS解析器都可以被利用来进行比以往脉冲DoS攻击更实用且更强大的DNSBomb攻击。 小规模实验表明,峰值脉冲幅度可接近8.7Gb/s,带宽放大倍数超过20,000倍。这些结果突显了DNSBomb对全球互联网服务造成重大破坏的潜力。 缓解措施与行业响应: 应对DNSBomb攻击的多方协作 针对DNSBomb攻击的发现,研究人员提出了有效的缓解方案,并已将这些发现报告给所有受影响的供应商。供应商们正在积极应用这些解决方案来修补其软件。此外,已有10个CVE-ID被分配用于解决DNSBomb利用的漏洞。 研究人员强调,任何能够聚合“事物”的系统或机制,如DNS和内容分发网络(CDN),都可能被利用来构建脉冲DoS流量。网络安全社区被敦促加入进一步调查和缓解DNSBomb威胁的努力。 ZDNS云端智能防护 : 本地+云端打造抗DOS/DDOS攻击神器 DNSBomb的研究突显了在面对不断演变的网络威胁时,保持持续警惕和创新的重要性。 针对目前频发的DOS/DDOS攻击,ZDNS自主研发了外网DNS安全防护和应急接管产品——ZDNS云端智能防护。面对高脉冲流量攻击,云端的DNS权威解析服务通过分布式的架构部署,可弹性扩展的资源,具备强大的计算能力和带宽储备,其抗攻击能力相比传统自建解析集群有了数量级提升。 此外,为了保证极致安全,ZDNS云端智能防护具备了DNS抗D备份服务,兼容多种专业解析设备,当自建设备故障无法提供解析服务时,通过快速将DNS请求全部迁移到云端,实现解析服务快速逃生,保障服务的可用性。 扫描二维码 | 了解更多 声明:此篇为ZDNS-国家工程研究中心原创文章,转载请标明出处链接:https://www.zdns.cn/h-nd-485.html
|