IT技術互動交流平jiao)/h4>

重庆体彩网官网

作者(zhe)︰wy  來源︰網絡整(zheng)理  發布日期(qi)︰2020-02-26 14:40:00
   各位廣(guang)大(da)的網名們(men)睜大(da)你(ni)們(men)的眼楮擦亮你(ni)們(men)的眼球,如果遇到開(kai)放式DNS解析器這個十分危險(xian)隨時都jia)you)可(ke)能(neng)爆炸的地雷,請十分zhong)︵囊蛭 墓gong)擊性(xing)非常極(ji)其的強烈,很有(you)可(ke)能(neng)使你(ni)的網絡系統電腦設備等等都很有(you)可(ke)能(neng)受到嚴重的威脅。

 雖然(ran)近日針對歐洲反垃圾郵件組(zu)織Spamhaus發動的大(da)規模DDoS攻(gong)擊其危害(hai)程度(du)不如早期(qi)傳聞聲稱的那麼(me)大(da),但是此(ci)事件值得關(guan)注的原因在于(yu),它們(men)暴(bao)露du)a href="http://www.it165.net/news/nhlw/" target="_blank" class="keylink">互聯網眾多根(gen)本薄弱環節當中(zhong)的幾個。其中(zhong)一個就是開(kai)放式DNS解析器,這種解析器為一種名為DNS放大(da)(DNS amplification)的攻(gong)擊手法提供(gong)了可(ke)趁之機(ji)。而(er)這種攻(gong)擊手法具體指,目(mu)標服務(wu)器每(mei)向外發送(song)1個字(zi)節,攻(gong)擊者(zhe)就向這些服務(wu)器發送(song)多達100個字(zi)節的網絡擁塞流量。

  既有(you)技術專(zhuan)長又有(you)影響力的有(you)關(guan)組(zu)織會不會開(kai)始以一種整(zheng)體性(xing)、實質性(xing)yuan)姆絞澆餼穌廡┌蛔悖 cong)而(er)提高互聯網的安全性(xing),這仍需拭目(mu)以待。遺憾(han)的是,恐怕需要發生破壞性(xing)和危害(hai)性(xing)更大(da)的安全事件才會促使有(you)關(guan)組(zu)織積極(ji)行動起來。

服務(wu)器

  卡巴(ba)斯基安全新聞網站Threat Post刊登了一篇(pian)精彩的報(bao)道深入淺出(chu)地介紹了開(kai)放式解析器、DNS放大(da)攻(gong)擊及其在針對Spamhaus的DDoS攻(gong)擊中(zhong)扮演的角色︰

  這方面息息相關(guan)的一個根(gen)本性(xing)、普(pu)遍(bian)性(xing)yuan)奈侍庥 kai)放式DNS解析器被用來針對瑞士kong)餳曳蠢 始zu)織發動DDoS攻(gong)擊有(you)關(guan)。開(kai)放式解析器在送(song)回DNS答復之前並(bing)不對數據包發送(song)者(zhe)的IP地址進行驗證。因此(ci),攻(gong)擊者(zhe)騙過受害(hai)者(zhe)IP地址後,就能(neng)夠向受害(hai)者(zhe)發送(song)大(da)量kang)墓gong)擊流量,攻(gong)擊流量與請求(qiu)流量之比達到了100︰1。諸如此(ci)類(lei)的DNS放大(da)攻(gong)擊最(zui)近被黑(hei)客行動主義者(zhe)、敲詐(zha)勒索者(zhe)以及上了黑(hei)名單的網站主機(ji)所使用,而(er)且大(da)獲成(cheng)功。

  開(kai)放式DNS解析器項目(mu)組(zu)織的Jared Mauch告(gao)訴Threat Post,參與Spamhaus攻(gong)擊的僵尸網絡使用了30000多個獨特的DNS解析器,"如果實施一起更大(da)範圍(wei)的攻(gong)擊,這些解析器的共同威力可(ke)能(neng)會被不法分子用來讓這個全球網絡的大(da)部分系統cheng)萑 被盡quot;

  據Threat Post聲稱,解決辦法就是︰"開(kai)放式DNS解析器項目(mu)組(zu)織及其他組(zu)織(如DNS服務(wu)提供(gong)商(shang)Afilias)建議實施源地址驗證機(ji)制。現已存在的IETF RFC, BCP-38具體明(ming)確了如何使用源地址驗證機(ji)制,以及如何建立這種架(jia)構,以挫(cuo)敗IP源地址欺騙手法。"

  另外,系統管理員(yuan)Trevor Pott在The Register網站上發表了一篇(pian)內(na)容翔實的博文,他坦誠(cheng)自己無(wu)意中(zhong)淪(lun)為了DDoS攻(gong)擊的幫凶,起因是"他在搭建位于(yu)其網絡邊(bian)緣(yuan)上的一台DNS服務(wu)器時,犯下(xia)了一個簡單的配置me)砦蟆quot;他稱之為充(chong)當路由器的"邊(bian)緣(yuan)洗(xi)滌器"(edge scrubber),它向數據中(zhong)心里面的服務(wu)器和路由器分發IP地址。它還代表網絡上的所有(you)其他設備,"起到了各種"枯燥粗活(huo)"的功能(neng)"。它是數據中(zhong)心/本地網絡時間服務(wu)器、外部DNS服務(wu)器、邊(bian)緣(yuan)服務(wu)器和帶寬限制器。

  他表示(shi),問題在于(yu),他忘(wang)了si)梅wu)器上的遞歸(gui)查詢,這使得他那台服務(wu)器成(cheng)了被DNS放大(da)攻(gong)擊利用的一個工具。他解釋︰"DNS服務(wu)器能(neng)夠以兩種基本方式當中(zhong)的一種方式來配置。在一種可(ke)能(neng)的配置下(xia),DNS服務(wu)器只為它負責服務(wu)的對象提供(gong)域名服務(wu)(命令式)。在另一種配置下(xia),DNS服務(wu)器除了提供(gong)那些域名服務(wu)外,還在更廣(guang)泛的互聯網上尋(xun)找它原本無(wu)權管理的任何域(遞歸(gui)式)。正是遞歸(gui)式DNS服務(wu)器讓互聯網得以正常運行。它們(men)也是一種攻(gong)擊途徑。"

  他詳細地解釋了如何修(xiu)復ci)翹 wu)器存在的配置問題。簡而(er)言之,問題源自于(yu)這種假定(ding)︰BIND(實現DNS協議的系統)在默認情況下(xia)禁(jin)用遞歸(gui);解決辦法需要"指令BIND只受理來自yun)涫 zhong)心里面的服務(wu)器的遞歸(gui)請求(qiu)。"

  如果小伙伴(ban)們(men)遇到了類(lei)似(si)的問題請一定(ding)要抓(zhua)住這個機(ji)遇將我們(men)文章(zhang)里所推薦(jian)的軟件和產品一一都試一遍(bian),如果你(ni)還很感興趣的話請一定(ding)要認xian)嬖yue)讀(du)本篇(pian)文章(zhang)因為它可(ke)能(neng)給你(ni)帶來無(wu)窮(qiong)無(wu)盡的知識。

重庆体彩网官网

    • 重庆体彩网官网

    About IT165 - 廣(guang)告(gao)服務(wu) - 隱私(si)聲明(ming) - 版(ban)權申明(ming) - 免(mian)責條款(kuan) - 網站地圖 - 沙巴体育官网網友投稿(gao) - 聯系方式
    本站內(na)容來自于(yu)互聯網,僅供(gong)用于(yu)網絡技術學習(xi),學習(xi)中(zhong)請遵循相關(guan)法律法規
    重庆体彩网官网 | 下一页