Akamai检测到超过400起利用DNSSEC协议的反射DDoS攻击

DNSSEC攻击是指，攻击者通过伪造DNS请求来对受害者网络进行DDoS攻击。具体而言，攻击者会发起大量的域名解析请求，而这些请求实际上指向受攻击者的服务器。当受害者试图返回数据时，结果就会消耗掉受害者的计算资源和带宽资源。

DNSSEC的优势包括：

可以增加网络的安全性，因为伪造的DNS请求可以被识别并被丢弃。
可以减少DDoS攻击的影响，因为攻击者需要伪造大量的请求来引起网络拥塞，而DNSSEC可以减轻这些攻击。
可以提高用户体验，因为受害者服务器所返回的内容不会因为攻击而被延迟或丢失。

对于腾讯云而言，推荐的产品包括：

负载均衡（CLB）：可以通过配置规则，将流量分配给多个服务器，从而实现流量的负载均衡和高可用性。
防御性网络（WAF）：可以识别和拦截攻击，并防止攻击者访问受害者服务器上的资源。
内容分发网络（CDN）：可以将静态内容加速存储和分发到多个服务器，从而减轻主服务器的压力。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

黑客是如何利用Joomla Google地图插件进行反射DDoS攻击的

安全研究人员最近发现了大量利用Joomla Google地图插件漏洞进行的反射DDoS攻击。...令人担心的是，这个被取名为“Joomla反射DDoS攻击”的方法成本非常低，非常容易运行。 Joomla反射DDoS 反射DDoS似乎成为了DDoS攻击者们的新时尚。...2014年第四季度，Akamai观察到39%的DDoS攻击流量是使用的反射方法，这种方法利用了某种网络协议或者是程序漏洞，能够让DDoS攻击者将恶意流量反射到第三方服务器或者设备上。...分布式反射拒绝服务攻击对地下罪犯非常常见。黑客利用了一个Joomla（一套在国外相当知名的内容管理系统）Google地图插件中的漏洞进行攻击，这个漏洞在2014年初被发现。...报告中称： DAVOSET发动Joomla反射DDoS攻击非常有效，软件包含一份存在Google地图插件漏洞能被利用的服务器列表。

1.3K10 0

微软 Azure 遭到了创纪录的 DDoS 攻击：2.4 Tbps

微软Azure网络部门的高级项目经理Amir Dahan说：“这比2020年的1 Tbps攻击高出了140%，并且比之前在Azure上检测到的任何网络容量耗尽攻击事件都要高。”...他还将这起攻击描述为是一起用户数据报协议（UDP）反射攻击。这次严重的DDoS攻击是使用大约70000个僵尸机发起的，这些僵尸机主要分布在亚太区（比如马来西亚、越南、日本和中国）以及美国。...在此期间，Azure DDoS防护团队在2021年上半年化解了超过251944次针对Azure全球基础设施的独特攻击。...之前公开报道的破记录的DDoS攻击是AWS Shield防护服务在2020年第一季度检测到的2.3Tbps容量耗尽攻击，以及上个月攻击俄罗斯互联网巨头Yandex的每秒2180万次请求（rrps）应用层攻击...Akamai Prolexic DDoS 服务故障：导致澳大利亚多家知名银行和航空公司的系统宕机雇佣黑客以 DDOS 和 CC 的方式攻击，打电话、发短信索要 3 万每月保护费：彭某、谢某被判刑

3181 0

WS-Discovery反射攻击深度分析

本文的关键发现如下： - 自WSD反射攻击在今年2月被百度安全研究人员披露以来，今年下半年利用WSD进行反射攻击的事件明显增多。...-全球有约91万个IP开放了WSD服务，存在被利用进行DDoS攻击的风险，其中有约73万是视频监控设备，约占总量的80%。...ZDNet的文章[2]中提到，今年5月也出现过利用WSD的反射攻击，到今年8月的时候，有多个组织开始采用这种攻击方式。Akamai[3]提到有游戏行业的客户受到峰值为35 Gbps的WSD反射攻击。...ONVIF在设备发现阶段是基于WSD协议进行通信的。从反射攻击的角度来看，攻击者并非只针对ONVIF设备。虽然百度并没有提WSD反射攻击，但我们认为这是对于WSD反射攻击的首次报道。...假设设备带宽为10Mbps，则利用这些设备最大可造成282Gbps的反射攻击。

1.6K3 0

DDoS攻击的发展和应对

DDoS攻击的发展趋势呈明显的三个阶段性：　　第一阶段：由个人计算机组建僵尸网络，发动DDoS攻击；　　第二阶段：利用互联网开放服务器（如DNS、NTP）发起反射攻击；　　第三阶段：利用智能／IoT...设备协议（如SSDP）的脆弱性发起反射攻击。　　...，利用NTP协议的反射放大效果最好，超过500倍。...利用SSDP协议进行反射攻击的原理与利用DNS服务、NTP服务类似，都是伪造成被攻击者的IP地址向互联网上大量的智能设备发起SSDP请求，接收到请求的智能设备根据源IP地址将响应数据包返回给受害者。...从Akamai 2015 Q1 State of the Internet / Security Report报告中可以看出，SSDP反射攻击已经成为TOP1的DDoS攻击方式（20.78%）。

2K6 1

金融服务机构和客户的头号威胁：94％的攻击都来源于这四种

正如Akamai的报告所强调的那样，处理这种情况的一种方法通常是利用“bank drops” –一种可用于欺诈性地在特定金融机构开立账户的数据包。...Akamai的调查结果显示，94％观察到的金融服务攻击来自四种方法之一：SQL注入（SQLi），本地文件包含（LFI），跨站点脚本执行（XSS）和OGNL Java注入（在本报告覆盖期内，攻击者使用这种方法发动超过...三、DDoS 攻击: 损害资产和声誉在金融服务行业，犯罪分子也已经开始发起DDoS攻击，分散大众对于凭证填充攻击或利用基于Web的漏洞的关注。...在18个月的时间里，Akamai发现针对金融服务行业的DDoS攻击超过800次。...用于让反射器发送 SYN-ACK的原始SYN数据包，被反射器视为SYN泛洪攻击，并导致反射器把伪造的ip地址标记为恶意参与者。

3553 0

剖析CLDAP协议 Reflection DDoS

而与Memcache ReDDoS相比，2016年Akamai曝光的CLDAP ReDDoS虽然没有前者极高的效率，但是其56~70倍的放大倍数在DDoS家族中也依然是一名佼佼者，因此也应引起关注。...DDoS攻击。...二、CLDAP Reflection DDoS的现状根据Akamai SIRT发布的报告，目前捕获到的CLDAP ReDDoS最高峰值流量为24Gbps，最大反射倍数为70倍。...一些Windows服务器的AD服务监听端口暴露在公网，进而被利用来执行rootDSE查询产生放大反射DDoS攻击，在Exploit-DB上已经有安全研究者公开了Perl利用脚本：。...五、总结本文对CLDAP协议的缺陷及其造成反射放大DDoS攻击的现状进行了介绍，同时对目前已公开的攻击载荷Payload进行了探讨，并进一步探索出更精简的Payload，将CLDAP ReDDoS反射放大倍数从平均

1.5K2 0

Github遭遇史上最大1.35 Tbps DDoS攻击

在攻击的第一阶段，Github的网站遭受了惊人的每秒1.35太比特（Tbps）的高峰，而在第二阶段，Github的网络监控系统检测到了400Gbps的峰值。...两起攻击都是黑客利用Mirai进行的，Mirai是一种感染物联网设备进行大规模DDoS攻击的病毒。...据研究人员介绍，Memcached服务器的UDP协议的实现存在漏洞，可以被用来发起重大的DDoS攻击。研究人员称之为放大攻击。...Github已经证实，这次攻击利用了Memcached进行放大攻击，通过每秒1.269亿个数据包以1.35Tbps的速度达到峰值。...“ 为了减轻攻击，Github决定使用Akamai的Prolexic，它提供完全托管的DDoS防护，并且Akamai能够过滤并阻止恶意流量数据包。

1.2K6 0

DDoS攻击的规模和攻击频率都在不断攀升

ATLAS记录的数据：规模最大的DDoS攻击较2015年提高73%，达到579Gb/s。平均每周会发生124000起DDoS攻击事件。流量超过100Gb/s的DDoS攻击274起。...（2015年共监测到223起）流量超过200Gb/s的DDoS攻击46起。（2015年共监测到16起）美国，法国和英国成为大部分流量超过10Gb/sDDos攻击的目标。...未来是反射攻击的时代反射放大技术是一种在允许攻击者增大流量的同时，进行模糊处理该攻击流量的技术。...数据显示，近期一些大型DDos攻击所使用的DNS服务器，NTP协议，Chargen服务和SSDP协议中都有利用这项技术。...据统计，仅在2016年上半年： DNS成为2016年使用的最普遍的协议（2015年为NTP和SSDP） DNS的反射放大攻击平均规模增长迅速。监测到反射放大攻击的峰值为480Gb/s的（DNS）。

1K8 0

DDoS攻击的无情演变

造成这种情况的部分原因可能在于更好的可用反射器出现，以及使用这些可利用协议的暴露服务器越来越少。...局限：有限的攻击面——2600个被错误配置的系统，使得未经认证的系统测试设施无意中暴露在公共互联网上，允许攻击者利用这些PBX VoIP网关作为DDoS反射器/放大器；此外，攻击效果还可能与这些机器的连接和功率以及恶意行为者妥协它们的能力有关...→ TCP中间盒反射（TCP Middlebox Reflection）：这种新的放大向量利用中间盒（例如公司和国家防火墙）来反射针对受害者的流量。...潜力：根据ShadowServer的研究，作为潜在反射器的中间盒无处不在，涉及超过1880万个 IP。这些公开暴露的服务中的大多数本质上都是功能强大的，且可以访问主要的连接中心。...局限：虽然这里的放大系数是65倍，但上限并不明确。目前，攻击者可能正在对可用的反射器进行分类并测试如何可靠地大规模利用它们。

3831 0

物联网安全事件频发，你怎么看？

目前我们监测到的扫描、控制、攻击的行为，多为不法分子通过利用设备漏洞，进而在设备上运行恶意软件实现的。一些恶意软件，如Mirai、BrickerBot等，已被公开报道，为世人所知。...05 安全研究人员首次发现WS-Discovery协议被用于DDoS反射攻击关键字：物联网,设备类型：攻击活动子类型：DDoS 链接：...基于ONVIF协议的物联网设备参与DDoS反射攻击, https://www.freebuf.com/articles/system/196186.html 入选原因：...这是我们发现的关于WS-Discovery反射攻击的最早的新闻报道。ZDNet的文章中提到，今年5月也出现过利用WS-Discovery的反射攻击，到今年8月的时候，有多个组织开始采用这种攻击方式。...Akamai 提到有游戏行业的客户受到峰值为35 Gbps的WS-Discovery反射攻击。

1.3K3 0

中国制造IOT设备遭恶意软件Mirai感染成为近期DDOS攻击主力

黑客利用这些在线设备持续访问Brian Kreb网站，形成大量请求流量，致其瘫痪。...安全防护商Akamai也证实，Krebs网站和OVH遭受的DDOS攻击来源可能为同一批受恶意软件Mirai感染的僵尸网络。...Imperva 公司曾于8月17日探测到了Mirai僵尸网络的一系列GRE洪水攻击，攻击流量的高低峰值分别达到280 Gbps 和130 Mpps。...不同于常规的DNS反射放大攻击，“DNS water torture”由僵尸网络傀儡端向目标DNS服务器发送少量但持续的递归查询请求，对目标机构的各个DNS服务器逐渐形成超负荷流量攻击。...有些安全研究员仍在调查这两起攻击，并希望找出两起攻击之间的联系和背后攻击力量，但从事网络安全和DDoS攻击防护的专家认为，由于两起DDOS攻击的波及范围和对物联僵尸网络的使用，使此次黑客攻击的追溯和调查毫无先例可循

1.6K10 0

美国半个互联网瘫痪对开发者使用 DNS 的启发

，正常用户则无法访问，此次Dyn公司遭受的攻击大量则来自物联网设备，日常生活中日益增多的智能设备，被黑客利用其中的安全漏洞作为DDos攻击中的肉鸡，攻击方式简单直接又野蛮粗暴，黑客作案成本低、门槛低，已经成为一条高度成熟的产业链...非核心业务，受重视程度不够，出现安全问题的响应不够及时。解析服务器配置存在安全隐患，如开启域传送、any查询等，容易造成内部信息泄露或被利用作为反射放大攻击。...针对DDos攻击，建立了包括大带宽、大规模分布式部署、专用防护设备、多种针对性防护策略、高性能DNS服务处理程序在内的防护体系，针对同时多个域名攻击支持高达200G的域名攻击防护能力，历史处理域名攻击峰值超过...600G，针对单域名攻击的DDoS防护能力超过1T。...所以自建DNS也有一定的安全风险，需要关注以下几点：增加基础设施和安全设施的投入，增加带宽，部署更多的防护设备，以应对更大和更复杂的攻击；有条件的尽量开启DNSSEC支持，防止被劫持和修改；关闭域传送

5K1 0

Anti-DDos是什么？引流回注的方式有什么区别？

1、DDOS--分布式拒绝服务攻击 DDoS在全球的攻击事件越来越频繁，网络安全问题已经从小规模事件上升到国家安全层面，而攻击流量也越来越大，导致攻击方式也越来越多样化了最为传统的DDoS攻击多利用僵尸主机...反射拒绝服务攻击又称DRDoS攻击（Distributed Reflection Denial of Service，分布式反射拒绝服务攻击）。...一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。...随着互联网上存在DNS、NTP、SNMP等协议脆弱性的开放服务漏洞不断被修复，可以用来发起反射攻击的服务器数量数量越来越少。智能家居的激增，让黑客看到了另一个可以不断挖掘的金山。...这些智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议，而UPnP设备的发现是通过源端口为1900的SSDP（简单服务发现协议）进行相互感知，黑客利用SSDP协议发动DDoS攻击成为趋势。

3.1K1 0

腾讯云安全团队支招：放大比超过5万倍的 Memcached DDoS 攻击如何防御

近日，腾讯云安全大禹团队监测到利用 Memcached 服务作为放大器进行反射类 DDoS 攻击的行为，这种攻击的放大比可以达到惊人的5万倍。这5万倍的放大效应是如何产生的？...一、5万倍从何而来首先来看 Memcached 反射攻击的利用条件。可被利用进行反射攻击的 Memcached 服务需满足三个条件： 1、对公网开放。 2、未禁用 UDP 协议支持。...Memcached 反射类 DDoS 攻击利用的是 Memcached 中的 set 和 get 两个指令。...腾讯云安全团队监测到的数据表明，主流的放大反射攻击的服务包括 DNS 服务、NTP 服务、SSDP 服务、Chargen 服务等。...大禹 BGP 高防同时也有应对反射类 DDoS 攻击的杀手锏-UDP 封堵，如果用户用不到 UDP 协议，可以在骨干网络对 UDP 流量进行封堵，提前消灭反射类 DDoS 攻击，并且帮助用户降低防护成本

8276 0

DNSPod十问吴洪声:云时代,DNS面临哪些安全挑战？

就在2016年的10月份，北美地区的重要域名服务商D Y N公司，遭到了强烈的DDos攻击，导致北美地区大规模的网络瘫痪。...DoT方案是指利用TLS加密传输的DNS数据，DoH方案是指通过HTTPs协议传输DNS解析请求和响应。两个方案都是基于TLS协议。...利用它可以实现了基于证书的DNS通信双方身份认证和数据加密，从而保证了数据不被攻击者窃听或篡改。 DoT/DoH方案已经成为了标准组织的定稿标准，得到了整个产业链的积极认可。...当前，针对云DNS服务的DDoS攻击，在规模和频次上逐渐上升。带宽越来越便宜，可利用设备越来越多，云上DNS如何才能承受住日益增长的高流量DDoS攻击，是云服务稳定性的关键。...纯动态签名可以达到30万QPS 上面是我们腾讯云的性能和运营数据，最后，我想谈谈DNS安全的未来。近年来针对DNS的攻击，越来越精细化，从之前的大流量DDOS演变成低信号攻击。

1.6K2 0

GitLab再次遭受DDoS攻击，峰值超1Tbs

负责谷歌DDoS防御的云安全可靠性工程师Damian Menscher最近披露，有攻击者正在利用 GitLab 托管服务器上的安全漏洞来构建僵尸网络，并发起规模惊人的分布式拒绝服务攻击（DDoS）。...其中一些攻击的峰值流量，甚至超过了1 Tbps 。本次攻击利用的漏洞编号为CVE-2021-22205，GitLab曾在2021年4月修复该漏洞。...这种相似的攻击方式曾经对号称世界上最安全的比特币钱包Electrum进行过。当时来自超过15万个受感染主机的巨大DDoS攻击被发往Electrum网络，中断了所有用户的交易。...攻击发生10分钟后，GitHub向CDN服务商Akamai请求协助，访问GitHub的流量由后者接管。 Akamai用多种方式防御这次攻击。...目前防御手段的发展也很快，在2020年时，AWS报告说2月检测到2.3Tb的DDos攻击，持续了三天，意图瘫痪AWS，但没有成功。

6841 0

DataCon 的 DNS 恶意流量检查一题回顾

DNS 放大 DDOS 攻击 UDP 是一种无状态、无连接的传输协议，攻击者可以伪造了一个被攻击者的IP，请求了可利用的目标服务器，目标服务器得到响应后将数据返还给被攻击者，从而形成了 DDOS 攻击。...这有一个有意思的东西，在参考《反射 DDOS 攻击防御的一点小想法》的时候， https://www.freebuf.com/column/138163.html 作者发现自己 ANY 查询时并不会返回大于...尽管 DNS 动态更新协议规定只有经过授权的主机才能动态更新服务器的 zone file，但是攻击者还是可以利用 IP 欺骗伪装成 DNS 服务器信任的主机对区数据进行添加、删除和替换。 ?...DNSSec 域名遍历（枚举）最后这个实在是找不出来了，Google 了很久 DNS 的攻击类型均是重复上面的四种，没办法了只能找各位师傅的 writeup 看了。.../23042131 DNS 服务器能遭受到的 DDNS 攻击类型 https://www.cnblogs.com/cobbliu/p/3383135.html 反射 DDOS 攻击防御的一点小想法 https

2.3K2 0

腾讯安全DDoS边缘安全产品获国际研究机构Omdia认可

其中，有相当比例的超百G大流量DDoS攻击是由SYN大包或UDP反射之外的手法发起的。这意味着，Tb级别攻击已成为企业的现实威胁。...此外，扫段攻击、僵尸网络利用时差攻击、脉冲攻击、高频瞬时攻击等攻击方式也正在成为攻击者的惯用手段。...DDoS攻击者已不再局限于某种单一的flood攻击，他们还会利用模拟业务、协议漏洞、HTTPS CC进行TCP四层CC、TCP反射等攻击手法进一步威胁企业安全。...因此，企业亟需在防护侧突破技术屏障，利用AI、算法、水印、设备指纹等多种方式来构建新一代的防御体系。...目前国际上，AWS、微软、Akamai、Cloudflare等科技厂商均已推出相对成熟高效的DDoS防护服务，但市场差异化服务仍有较大空间待填补。

7283 0

CNCERT 2018年1月我国DDoS攻击资源分析报告

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。...图5 2017年度攻击月次超过6月次且本月仍活跃的肉鸡数量按省份和运营商分布此外，2017年度被利用发起DDoS攻击次数TOP100的肉鸡中，监测发现有29个在本月仍活跃，存活率为29%。...2017年度被利用发起攻击超过6月次的反射服务器中（共计1151个），监测发现有481个在本月仍活跃，存活率为41.8%。...图9 2017年被利用发起攻击超过6月次且本月仍活跃的反射服务器数量按省份运营商分布此外，2017年度被利用发起DDoS攻击次数TOP100的反射服务器中，监测发现有48个在本月仍活跃，存活率为48%...2017年12月监测到的反射服务器资源中，7.0%的反射服务器在本月仍处于活跃状态，共计2231个。

1.1K7 0

过往可能低估了反射放大 DDoS 的风险

工作来源 Usenix Security 2021 工作背景最近在 DDoS 攻击中攻击者正更多地利用反射放大攻击，先前认为通过网空搜索引擎就可以扫描/查找不同协议的开放服务，例如 Censys/openresolver...任何响应大于查询的无状态协议都可能被滥用于反射放大攻击，先前的研究都集中在：什么样的查询会导致反射放大？会产生多大的反射放大？...以 DNS 协议为例，利用已知 DNS 会影响反射放大的三个字段（record type、EDNS、recursion desired），构建 172 个查询模式，在 Censys 中随机抽取 1000...超过 10 个字段的协议（DNS、NTP、RPCbind）为每台服务器分配 1500 个查询总额，简单协议为每台服务器分配 400 个查询总额。...TXT 和 ANY 是之前研究已经揭露的，其他类型的查询实际上也能用于反射放大攻击。而且，DNSSEC 的一些记录类型（例如 RRSIG、DNSKEY）可以产生高 AF。

6504 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云