您现在所在位置:主页 > DDOS防御 >

高防御cdn_ddos防御工具免费_快速解决

更新时间:2021-05-04

高防御cdn_ddos防御工具免费_快速解决

在上一篇文章中,我对我们在保护不受限制的DNS解析程序方面所面临的一些挑战进行了广泛的概述。我在拉斯维加斯的BSides做了一个关于这个主题的演讲,我想花点时间来深入研究一些我们所看到的攻击的技术细节,并回顾一些缓解策略。你可以在这里找到谈话的视频。我们看到的最普遍的攻击类型是DNS放大。技术上反映了分布式拒绝服务攻击(rDDoS),这些攻击可以通过两种方式表现出来:要么你是目标,电脑如何增加ddos防御,要么是参与另一网络攻击的中间人。不管怎样,你都不想处于那个位置。那么,这些攻击是如何起作用的?请记住,DSN是一个应用层协议,主要利用UDP连接。UDP连接是无状态的,本质上是一个尽力而为的协议。没有连接握手,这使得欺骗传入数据包中的源IP地址变得非常容易。根据RFC,DNS请求包的有效负载大小过去被限制在512字节大小。但是,EDNS(0)扩展的引入和随后这些标准的采用意味着DNS有效载荷包的大小可以达到最大4096字节,然后通过TCP进行分段和重试。(我将在以后的文章中讨论DNS和TCP的安全含义。)典型的DNS传入有效负载在50到100字节之间。传出有效负载的大小可能会有所不同,从A或CNAME记录的非常小(约100-200字节)到大型ANY或TXT记录的最大4000或更多字节。考虑以下因素:一个单一的端点-通常是一个被入侵的计算机征用并参与僵尸网络。僵尸网络恶意软件为isc.org网站(使用的第一个放大攻击域)。恶意软件将请求中的IP地址欺骗为目标受害者的IP地址。该包被发送到已知的开放缓存解析程序。出站数据包大约为50字节(实际大小为64字节)。数据包到达开放缓存解析器,服务器用一个更大的响应包进行响应-为了便于计算,我们将使用3000字节(实际大小为3223字节)。我们可以计算如下放大系数:每个请求输出字节数/每个请求输入字节数=放大系数。在这种情况下,3000字节/50字节=60x放大现在,假设一个受感染的主机(僵尸网络成员)仅使用100kbps的带宽就可以发送100000字节/50字节=每秒2000个DNS请求。这些请求很可能会被终端的大多数检测控制所监视。一个典型的僵尸网络控制着成千上万的可能的端点参与者。在我们的例子中,假设一个僵尸网络只有10000个端点,每个端点攻击同一个IP地址,每个端点仅使用100Kbps。100 kbps x 10000个端点x 60(放大系数)x.000001 Gbps/kbps=60 Gbps如您所见,对目标发起恶意且不可阻挡的DDoS攻击并不需要占用太多资源。这种类型的攻击可以产生近500 Gbps的针对目标的流量。还要考虑到每个僵尸网络成员都可能将这些DNS请求发送到一个由几十万个开放式缓存解析程序组成的数组。根据开放解析器项目,在撰写本文时,互联网上有超过1160万个可公开访问的解析器。虽然这些解决方案的总数在过去几年中有所下降,但这一下降对缓解这一问题没有多大作用。这些僵尸网络可以针对单个IP目标或一组IP。它们可以在攻击中使用多个域,ddos攻击的防御手段有哪些,并可用于在全球范围内针对整个组织或民族国家。仅仅因为您的组织运行一个开放的DNS缓存解析程序,您很可能是作为中间人参与这些类型的攻击。在过去的几周里,我们看到了一个持续的域名攻击动态网任何针对土耳其电信公司IP地址的记录。这个国家或地区是为了防止这种攻击而设计的。那么,怎样才能阻止这些袭击呢?首先,如果您不需要允许从Internet到DNS缓存解析程序的无限制访问,那么就不要!按IP范围限制访问,或者更好的是,只允许从LAN IP地址空间访问。关闭所有面向Internet的接口上的侦听器。但你会说,"我需要在互联网上有一个开放缓存解析程序,我该怎么做才能保护我的DNS?"简而言之,按源IP和类型限制传入查询的速率,防御ddos系统,并强制通过TCP"重新请求"某些查询类型。根据您的环境,在实践中实施起来有点困难。例如,BIND在9.9.4及更高版本中内置了一个速率限制选项。此功能仅对全局所有查询进行速率限制。BIND还有一个称为响应策略的特性。这些可以配置为更改BIND发送的响应,但这并不能抑制传入和传出请求的流。如果你在一个面向互联网的接口上使用微软的DNS,那么,除了"为什么"之外,不知道该说什么Unbound没有任何内置的速率限制功能,多服务器防御ddos,但是有一些在重载下起作用的拒绝服务保护。另一种用于帮助减轻DNS放大的缓解技术涉及配置响应的DNS服务器以强制某些查询类型(如ANY和TXT记录查询)使用TCP。BIND和simpledns有这个特性。请查看DNS服务器软件的文档,以查看是否有此配置。请记住,您将不得不向Internet公开TCP端口53。大多数攻击者会忽略重定向到TCP响应,因为这需要三方握手,并可能泄露攻击者的源IP。另外,请注意,源IP可以在TCP包中欺骗,并且打开TCP 53可能会允许从您的DNS服务器发起另一种类型的攻击,称为SYN/ACK洪水。除了这些简单的选项之外,大多数DNS服务器在为DNS服务器配置保护控制时提供了很少的粒度。其他缓解策略包括:将IP列入防火墙黑名单。这里要小心,因为你很可能会把受害者的IP列入黑名单。通过防火墙限制速率。这同样不是很颗粒状,但在必要时也能起作用。在我们的例子中,我们能够利用我们的负载平衡器,并在F5接口上加入病毒来预处理DNS流量并应用各种规则。这些规则包括基于IP黑名单匹配的阻塞(知道恶意IP,不可能是目标IP)、基于源IP、查询类型和查询名称组合的速率限制(这允许合法查询通过而忽略恶意查询),以及一些包检查以验证DNS包的结构。所有这些测试都构建在一个单独的病毒中,该病毒检查每个传入的DNS请求。所有相关的信息都被记录到我们的Graylog基础设施中进行反馈分析,只有有效的请求才会传递到我们的DNS集群。这个iRule使用自动更新的数据组文件,给我们一个单一的分发点来推动对我们的全球基础设施的更改。您可以在这里了解自动更新过程。我希望这个DNS放大和缓解策略的概述有助于使您的基础设施更安全,ddos单ip防御力是多少,更不可能参与任何这些攻击。 

作者简介:Jim Nitterauer,CISSP目前是AppRiver,LLC的高级安全专家。他的团队负责全球网络部署和管理SecureSurf全球DNS基础设施和SecureTide全球垃圾邮件和病毒过滤基础设施以及所有内部应用程序,并帮助管理整个公司的安全操作。他还精通道德黑客和渗透测试技术,从事技术工作20多年。编者按:在这篇客座作者文章中表达的观点只是作者的观点,并不一定反映Tripwire公司的观点。保存