DNS 反射放大攻击分析 前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。 简介 DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址为受害者 IP,将应答包的流量引入受害的服务器。 简单对比下正常的 DNS 查询和攻击者的攻击方式: 正常 DNS 查询: 源 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 源 IP 地址 DNS 攻击: 伪造 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 伪造的 IP 地址(攻击目标) 分析 从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点 大量的流量都来自正常的 DNS 服务器 攻击者通过伪造 IP 向正常的 DNS 服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实 IP。
查询放大攻击的原理是,通过网络中存在的DNS服务器资源,对目标主机发起的拒绝服务攻击,其原理是伪造源地址为被攻击目标的地址,向DNS递归服务器发起查询请求,此时由于源IP是伪造的,固在DNS服务器回包的时候 ,会默认回给伪造的IP地址,从而使DNS服务成为了流量放大和攻击的实施者,通过查询大量的DNS服务器,从而实现反弹大量的查询流量,导致目标主机查询带宽被塞满,实现DDOS的目的。 上图可以看出,我们所发送的数据长度要小于接收到的数据长度,流量差不多被放大了3倍左右,我们只需要将源地址伪造为被害机器,并使用海量的DNS服务器作为僵尸主机发包,即可完成DDOS攻击。 可用性/flood=攻击>") parser.add_argument("-f","--file",dest="file",help="指定一个DNS字典,里面存储DNSIP地址") parser.add_argument 列表,并通过check命令验证该DNS是否可用,并将可用的DNS保存为pass.log main.py --mode=check -f dns.txt 当需要发起攻击时,只需要指定pass.log 文件
腾讯云域名专场特惠:个人新用户.top仅1元/年,企业新用户.com仅1元/年,另外购买域名赠送免费版证书和解析…
由上可知,DNS 攻击的关键就在于伪造一个 IP 地址,返回给用户机。对于本地的 DNS 我们可以从两个方面进行攻击。 当监听到这个 DNS 请求,攻击者将编造一个假的 DNS 应答。 ,这时攻击者便可嗅探到该请求包,构造虚假包发给 DNS 服务器。 说明攻击成功 总结 对于 DNS 攻击,一旦攻击成功将对用户的信息和财产安全造成巨大的损害,直接用 IP 访问重要的服务可以有效预防 DNS 攻击,但带来了巨大的不便。 那么对于处于远程网络的主机,是否可进行 DNS 攻击呢,答案自然是可以的,但首先我们需要对 DNS 的返回包内容有一个深入的了解,请关注后文远程 DNS 攻击实例。^^
这样的行为被称之为域名重新绑定攻击(DNS ReBinding)。 03 DNS ReBinding技术实现 在上述内容中,了解了什么是域名重新绑定攻击,重点在于DNS服务能够在两次DNS查询中返回不用的IP地址,第一次是真正的IP,第二次是攻击目标IP地址。 图 3 如上图3中,攻击者通过在公网上自己建立一台DNS服务器,地址为dns.b.com(与a.com不在同一域下),并在公共DNS上写入一条NS(域名)记录,将查询*.a,com的请求转发到攻击者自建的 这个时候由于是攻击者自己的DNS,攻击者就可以自定义查询的结果,如第一次查询返回的IP地址设置为钓鱼网站www.a.com的IP,第二次查询返回的地址为要攻击的目标IP 127.0.0.1,完成DNS 通过DNS rebinding绕过同源策略攻击Transmission分析, 地址:https://www.anquanke.com/post/id/97366 ?
答案提交:答案中需要包含攻击发起IP地址、攻击发起时间、攻击结束时间、攻击涉及域名列表等信息。 比赛结果 ? 分析思路 考察DNS安全问题,因此首先寻找都有哪些DNS安全问题。 Google Nmap dns攻击插件 Nessus dns攻击插件 防御者思路: snort suricata 传统厂商检测规则 困难与挑战 pcap数据包较大,直接使用wireshark分析困难,卡顿现象特别严重 转用Tshark、Edipacp、snort、suricata进行分析 在无具体目标的情况下,进行全盘分析,会相对较累一些,很难覆盖所有常见攻击。主要在于未知有哪些攻击,围绕dns的攻击种类太多。 检测逻辑: 获得所有Nsec类型的DNS记录 攻击者IP、攻击发起时间、枚举使用域名列表 tshark -r q1_final.pcap -Y '(dns.resp.type == 47 and 细化DNS攻击分析,更细化地了解了各类DNS攻击的攻击方式、检测方式,并通过此次机会学习了一波Snort和Suricat的使用。 看了后续大家提交的WP,还是看到了很多有趣的思路。
常用于攻击对外提供服务的服务器,像常见的:Web服务、邮件服务、DNS服务、即时通讯服务 这些等 在早期发起 DoS攻击 是一件很容易的事情,只需要写个程序让服务过载,无暇提供正常服务即可,也就是一秒中请求服务多次 ,DNS 提供将域名转换成 ip地址 的服务,每一个域名的解析都要经过 DNS ,所以可以看出它的重要性 正是因为它的重要性,所以 DNS劫持 很容易被别有用心的人利用 早期并没有考虑太多的安全性,所以导致 DNS 很容易被劫持 如果攻击者篡改 DNS解析 设置,将域名由正常 IP 指向由攻击者控制的非法 IP,就会导致我们访问域名打开的却不是对应的网站,而是一个假冒或者别有用心的网站。 这种攻击手段就是 DNS劫持 通过 DNS劫持 简单点可以导致用户流失,严重的后果甚至惠将用户诱导至攻击者控制额非法网站,可能会造成银行卡号、手机号码、账号密码等重要信息的泄露 后来出现了 DNSSEC SSL证书具备服务器身份认证功能,可以使DNS 劫持导致的连接错误情况及时被发现和终止 图片
一、基于DNS的隐蔽通信 企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁。复杂的攻击者越来越多地利用DNS通道来泄露数据,以及维护恶意软件的隧道C&C(命令和控制)通信。 从攻击者的角度来看,这使得DNS协议成为数据泄露地隐蔽通信通道。 现代恶意软件和网络攻击在很大程度上依赖于DNS服务,使其活动可靠且难以跟踪。 二、DNS检测 监控网络DNS活动和阻止可疑域已被证明是抵御此类攻击的有效技术。对于分析DNS流量以识别恶意网络活动,人们提出了很多检测方法,比如使用字符频率分析的DNS隧道检测方法等。 以基于DNS隐蔽信道的攻击与检测为例,目前基于网络流量的DNS检测技术,尤其是利用Passive DNS来实现对网络的DNS监控,不需要任何关于僵尸网络协议、通信或签名的先验知识,在当前的DNS检测领域具有一定的先进性和代表性
下面讲的就是ettercap的DNS欺诈和arp攻击,通过ettercap让目标主机只能浏览你所指定的网络,比如你指定了Baidu.com他就上不了QQ.com,这就是在局域网环境下对其他主机的欺骗。 (4)启用ettercap 发动攻击 ettercap -i eth0 -T -q -P dns_spoof /// /// i是指定网卡,如果你的连接是wlan0的话就改成wlan0,T 如下 在这里说明一下,有的时候可能由于网络模式或者其他一些未知错误,上面的攻击命令起不到作用无法进行DNS流量转发攻击,因此还有一种对应的命令 即 ettercap -i eth0 -Tq -P dns_spoof ,在这里我大概说一下(1)手机自身带有防止DNS攻击的某种手段或者手机安装了某些安全软件,所以一时半会是不行的(2)ettercap的版本问题,没有及时更新以至于手机厂商修复了这些漏洞,而你还停留在玩历史 (3) leafpad /etc/ettercap/etter.dns 修改rederect 为本机的IP地址(kali的ip) (4)执行攻击命令 ettercap -i eth0 -TqP
DNS服务器被攻击 今天给大家说说我们的DNS服务器被攻击及解决办法。 ? 问题现象 今天上午10:30左右,公司的DNS服务器被攻击,导致平台部分服务不能访问。 接到Zabbix报警后,赶紧登陆一台被监控节点,发现Zabbix agent进程是存在的,但是不能ping通Zabbix server节点,说明DNS出现了问题。 登陆DNS服务器,发现bind进程已经不存在了。 由于TKEY查询的错误可导致BIND服务器发生REQUIRE断言失败并停止服务,攻击者利用漏洞可恶意构造数据包,导致TKEY记录查询错误,进而导致BIND服务器发生REQUIRE断言失败并停止服务。 上面的脚本具有一定的攻击性,请大家不要随便使用。不过可以针对自己家公司的DNS服务器进行内测,如果发现有问题,则赶紧升级DNS软件。
DNS如此重要,但很多企业对DNS安全却并不是很重视,导致DNS经常被不法分子利用,发起各种网络攻击。今天墨者安全就来说说跟DNS相关的常见攻击类型有哪些? 这类攻击一般通过恶意软件来更改终端用户TCP/IP设置,将用户指向恶意DNS服务器,该DNS服务器会对域名进行解析,并最终指向钓鱼网站等被攻击者操控的服务器。 DNS DDoS攻击 针对DNS的DDoS攻击通过控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求,利用工具软件伪造源IP发送海量DNS查询,发送海量DNS查询报文导致网络带宽耗尽而无法传送正常 反射式DNS放大攻击 所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异,由于每个机器人都要求使用欺骗性IP地址打开DNS解析器,该IP地址已更改为目标受害者的真实源IP地址,然后目标会从DNS 当面对各种DNS攻击,墨者安全建议专业的高防DNS防劫持服务,保障服务器的稳定运行,从容应对各种DNS攻击,避免因DNS攻击造成在线业务中断,给企业带来重大损失。
UDP攻击是什么意思?UDP攻击防范措施 UDP攻击是什么意思? UDP攻击防范措施 UDP攻击是什么意思? UDP洪流攻击是导致基于主机的服务拒绝攻击的一种。 在一起UDP洪流攻击中,UDP报文发往受害系统的随机或指定端口。通常,UDP洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。 如果受害系统正在被攻击,没有运行服务,它将用ICMP报文响应一个“目标端口不可达”消息。 通常,攻击中的DDOS工具会伪造攻击包的源IP地址。 UDP洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。 UDP攻击防范措施 为保证网络安全,使用防火墙对来源不明的有害数据进行过滤可以有效减轻UDP洪流攻击。另外,还可以采取如下措施: 1、禁用或过滤监控和响应服务。 2、禁用或过滤其它的UDP服务。
获取图片和浏览的网站 driftnet -i wlan0 urlsnarf -i wlan0 dns劫持 修改/etc/ettercap/etter.dns 添加自己的ip和劫持域名 开始进行DNS欺骗攻击 : ettercap -i eth0 -Tp -M arp:remote -P dns_spoof /192.168.127.211// /192.168.127.2// 进行DNS 欺骗后,再次测试: ping www.sina.com.cn ,发现将www.sina.com.cn 解析指向了攻击者主机(192.168.127.208)----
在前面小编讲了关于NTP放大攻击的操作流程预计防御措施。那么这次主要分享下DNS放大攻击的操作流程以及防御措施。 DNS放大攻击与NTP放大攻击是相似的,但相比NTP放大频率DNS放大频率更高。 一般攻击者会利用僵尸网络中的被控主机伪装成被攻击主机,然后设置成特定的时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,然后让其提供应答服务,应答数据经DNS服务器放大后发送到被攻击主机 DNS放大攻击工作原理: 基本上大部分的放大攻击是攻击者通过许多请求然后将其放大以此来消耗目标Web资源间的带宽。 通常黑客利用DNS服务器放大攻击的特性,使用受损的被控僵尸主机将带有欺骗性IP地址,然后利用DNS服务器向被攻击者返回查询的结果。通常查询应答数据包会比查询请求数据包大数倍。 DNS放大攻击的防御措施: 1.正确配置防火墙和网络容量; 2.增大链路带宽; 3.限制DNS解析器仅响应来自可信源的查询或者关闭DNS服务器的递归查询; 4.使用DDoS防御产品,将入口异常访问请求进行过滤清洗
EtherDelta遭遇DNS攻击 近日,以以太坊区块链智能合约为基础的加密货币非集中化交易所EtherDelta向全体用户发布了一项涉及到其域名服务器(DNS)的安全警告,EtherDelta表示其公司遭遇了黑客的 DNS攻击活动,丢失了至少308以太币(约合266,789美元)以及大量的token(代币)。 鉴于此次攻击活动的影响,EtherDelta交易所已经暂停了服务,该公司在推特上公布声明称, 尊敬的用户,目前我们有理由相信,已经有一些恶意行为者成功访问了公司的DNS服务器。 加密货币攻击现象化发展 近日,另一则关于加密货币平台的攻击事件,就是韩国Youbit交易所因在今年内遭遇两场大规模黑客攻击活动,而最终宣告破产。 他表示: 我认为,整个社会向数字化转移是黑客发动网络攻击的潜在动机。因此,明年我们会看到更频繁、规模更大、数量更多的黑客攻击行为。
将路由器恢复出厂设置之后,一切恢复正常,但是发现过几天DNS又会被篡改,最后客户通过屏蔽恶意DNS服务器ip地址,解决了这一次攻击事件。 4 DNS重绑定攻击。前面几种观点,都不能圆满解释攻击者是如何从外网打内网设备的,DNS重绑定攻击是一种可能的手段,接下来看具体分析过程。 Part3 前置基础知识 DNS重绑定攻击介绍 DNS重绑定攻击过程如下:攻击者事先构造好一个网站,想办法以各种形式让用户访问到。 Part4 DNS重绑定攻击过程 为了很好地解释宽带用户内网的家用路由器,在不通外网的情况下,如何被攻击者篡改路由器的DNS记录的,我画了一个比较直观的示意图,方便大家理解“DNS重绑定攻击”。 DNS重绑定攻击示意图 攻击者首先需要能控制DNS解析记录,可以使自己搭建的DNS服务器,自己是域名拥有者。
Inveigh结合DNS v6配合NTLM Relay 的利用 通过Inveigh工具内网投毒,欺骗ipv6的DNS服务器,进行WPAD欺骗,结合NTLM Relay攻击链进行利用。 特点 惊该工具包含有以下协议的攻击: -LLMNR [packet sniffer | listener] -DNS [packet sniffer | listener] -mDNS [packet -DNS Default=Enabled: (Y/N) DNS spoofing. -DNSSuffix DNS search suffix to include in DHCPv6/ICMPv6 responses. -DNSTTL Default=30: DNS TTL in seconds.
DNS服务器解析域名的过程如下所示: ? 本地DNS服务器:严格来讲,它不属于DNS体系。事实上,每台主机都需要配置一个本地DNS服务器才能正常上网。 当主机发出DNS请求的时候,该请求被本地DNS服务器处理。本地DNS服务器实际上作为一个转发功能存在。 DNS递归查询 DNS递归查询是将域名解析的负担交给被查询的DNS服务器来完成的。 在这个过程中,DNS服务器只告诉你该去哪个IP地址继续查询。这就大大降低了DNS服务器的负担。 ? 实际上,我们每次的DNS查询并不一定都是权威DNS服务器处理的,大多数可能是本地DNS服务器处理的。 一般DNS会遭遇一下攻击 DDoS 伪装客户,向大量的DNS服务器发出请求,导致客户被DNS服务器的回复给淹没。 DNS病毒 一般影响我们个人用户的DNS攻击有篡改host文件,DNS污染,DNS劫持。
关于DNS层面的攻击手段比较多,比如DNS劫持、DNS污染、DNS重绑定攻击、DNS反射放大攻击等等。 一般认为DNS劫持攻击与DNS污染是两回事,DNS污染一般指的是DNS缓存投毒攻击,这个我们后续再讲。 DNS解析过程 在分析DNS劫持攻击事件前,一定要先把DNS解析过程理清楚。网上对于DNS解析的流程图很多,但很多图画的不是很清晰明白,有的还有错误。 举个例子,DNS重绑定攻击就可以做到外网打内网,这种攻击比较复杂,我们后续再讲。再比如说,假设酒店的总路由存在弱口令,一旦被攻击者猜解成功后,就可以将DNS地址更改掉。 DNS重绑定攻击及DNS缓存投毒攻击是非常巧妙的,但理解起来有一定的困难,欢迎关注本公众号,后续会继续分享相关的技术文章。
域名解析(DNS解析)是域名转换为机器可读的IP地址的过程。腾讯 DNS 解析 DNSPod 向全网域名提供免费的智能域名解析服务,拥有海量处理能力、灵活扩展性和安全能力。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
网站备案
对象存储
云直播
实时音视频
