|
 | 作者: qiuyang [qiuyang]
 版主 |
登录 |
| CC(CC@CERNET.EDU.CN) CQ(QCHEN@CERNET.EDU.CN) 关于这种流量异常我们有2种解释 1.错误的配置 在DNS的配置选项中,有一项是关于转发的配置,这个配置的作 用是当服务器不能对客户端的域名请求进行解析时,其请求都 传递给了另一个DNS服务器,而另一台服务器的转发选项却是 这台服务器,所以造成了环回,流量就会很大。 2.黑客入侵 2.1 在黑客入侵中,最大的元凶就是Ddos,根据分析,攻击者在 进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记 录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR 反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量 的反向解析目标IP主机名的PTR查询请求。也就造成了流量的增 大。 2.2 或者是攻击者直接对您的DNS发起DOS攻击。 据我们分析,每次DNS查询的请求都会造成返回7~10倍 于查询的流量,所以只要不断地对你的服务器进行查询 可以导致域名服务器流量增大。 具体描述如下: 描述 ------------------------------------------------------- 很多DNS服务器的缺省设置存在一个漏洞,可能导致拒绝服务攻 击。如果一个域名服务器允许远程主机向它查询其他域(它本身 并不管理这些域)的域名,就是所谓允许递归查询,就可能导致 网络流量的异常增大。单个主机引起的流量增大可能并不能导致 拒绝服务攻击的产生,但是利用DNS的分级方式的弱点,可能引 发对单个站点的大量数据流量,阻塞正常的网络交通服务。 这个问题出在当域名服务器收不到某域权威服务器的域名解析应 答时的处理方式上。当域名服务器接收到一个域名解析请求时, 它往往会转发给上一级的DNS服务器.如果这个查询请求不能被解 析,因为其权威域名服务器上没有启动DNS服务或是没有应答。 每个转发的服务器将会试图自己解析,通常会重试三次(分别在 0秒,12秒,24秒时)甚至更多。在这种情况下,该域名所在网 络的流量就明显增大了。通过使用大量的域名服务器做这种查 询,可能导致向目标网络发送大量数据,造成拒绝服务攻击。 攻击者也可利用这种漏洞来发现目标网络的域名查询的路线。 <* 来源: scut / TESO 相关链接: http://teso.scene.at/ *> 测试程序 ------------------------------------------------------- 警 告: 以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使 用者风险自负! 暂时不公布 -------------------------------------------------------- 建议: 禁止来自其它主机的递归查询,只允许从信任主机或网络查询可 以避免使你的主机成为这种攻击的工具。对于被攻击的主机,没 有很容易的方法来使其免遭攻击。对于没有运行DNS服务器的主 机,应过滤掉所有流向它们的53号端口的数据包。但这只能使这 种类型的包不能到达防火墙后,这些包仍然会占用你的带宽。另 一种可能的方法是,在正受攻击的主机上建立一个假的DNS server,对于所有的查询都应答一些虚假信息。 -------------------------------------------------------- 缓解方法: 配制成只有信任主机才可以进行DNS查询: 具体方法如下: 下面是bind的配置文件named.conf中的部分重要参数: acl "trusted" {192.168.0.0/24,192.168.0.0/16 }; ;这是一个IP集合,第一个是指一个C类网段,第二个是指一个 B类网。trusted是这个集合的别名。 options { directory "/var/named"; pid-file "named.pid"; recursion yes; allow-recursion { trusted; } ; 这条是允许trusted的ip集合进行递归查询; allow-transfer { trusted; } ; 这条是允许trusted的ip集合进行域名查询; }; |
| 地主 发表时间: 03-12-22 23:15 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 系统集成
标题: 转---关于DNS流量异常的建议