该供应商编写的技术底漆已经被网络世界编辑,以消除产品推广,但读者应该注意到它可能会倾向于提交者的做法。有个足球雷竞技app
一类新的巨大DDoS攻击3月26日出现了由垃圾邮件发送者网络碉堡发起的DNS反射攻击对抗反垃圾邮件服务Spamhaus。报道的流量峰值为300Gbps,是之前记录的两倍。
专家们说,这些庞大的体积攻击将在普及收益,由于他们利用现有的互联网DNS服务器的事实,这意味着没有需要招聘一个自己的僵尸网络甚至可以租一个。这些类型的攻击被称为反射(有时放大)攻击,因为冲着正在向受害者转发的显著较高量响应流量的DNS服务器结果的比较少,小的请求。
[ 在新闻中:可能相关的DDoS攻击导致DNS主机中断
围捕:今年的最差数据泄露(到目前为止)]
好消息是,这种系统性问题以前就遇到过,而且在某种程度上已经解决了。记得当垃圾邮件为广大互联网流量?DNS反射攻击类似的问题,不过,谢天谢地,没有驱使垃圾邮件一样疯狂的直接利润的动机。
是什么使DNS反射攻击是继续容忍开放的DNS解析器在互联网上。一个DNS服务器被认为是一个“开放的”解析器,如果它将接受和转发域名查询,它不服务。这些开放的解析器可以用这种方式生成针对受害者的流量负载。通常,解析器不需要打开——通常只是配置错误导致的,所有者/操作甚至不知道它正在发生。Open Resolver项目列出了2500万台这样的服务器。如果他们被认为是僵尸网络,这将是有史以来最大和最强大的僵尸网络之一。
强制执行的现状,使DNS反射攻击另一个方面是奉献给延迟的最小化。每个人都希望互联网要快(谁不想?),以及响应DNS系统被看作是关键。由运营商部署的非常,非常大的DNS系统可以做定期每秒百万次的查询响应。通过UDP单包请求和应答来达到这一规模。但是,UDP意味着它不提供身份和无状态的本质是有效地“下落不明” - 攻击者可以很容易欺骗UDP数据包的DNS服务器没有办法告诉大家,这项工作已经完成,并且通过响应他们可能在不知不觉中攻击一个无辜的受害者。
那么,有没有办法走出这个DNS DDoS攻击的陷阱?
更智能的DNS基础设施的答案;更智能的基础设施,是铭记的不仅是它的积极影响,而且它的破坏力。企业,供应商和服务可以一起带来的DNS基础设施,以智能的这个更高的境界。
供应商需要做出更明智的DNS产品。当前防御技术,例如忽略所述第一查找请求,是粗而不是解决反射问题。新类的DNS服务器必须知道攻击和速率限制在病理情况他们的反应。
一个想法的时代可能已经到来是检测攻击的条件,然后重定向进入查询使用TCP的攻击的持续时间。这可能会导致更高的延迟(由于TCP开销)和平均一些服务器将需要升级,因为很多互联网DNS服务器将TCP期间遭受显著的性能损失,但其影响应该是暂时的(只是攻击的持续时间)。
但企业也应该加强自己的配置,以防止那种造成了3月26日的攻击放大的请求。具体而言,很少有原因的服务器应该除了特异地与整个区域转储回应列入白名单地址。企业也可以阻止“任何”记录类型的请求,对此没有很多常见的用途呢。
其中一个促成因素都有助于减轻垃圾邮件(本身体积攻击)的是黑名单服务的存在(如Spamhaus的代表;有讽刺意味)。Spamhaus的监控互联网开放的邮件中继和宣传的情报作为一项服务 - 企业使用Spamhaus的列表自动拦截垃圾邮件。对于DNS,有一些自由服务监控互联网上数百万个开放的DNS中继。
到目前为止,试图关闭2500万公开解决方案的唯一方法就是通过这些公开名单进行温和的公开羞辱。显然,仅仅出现在这个列表中是不够的,事实上,发布这个列表就像把一个巨大的僵尸网络的地址分发给任何想要使用它的人!既然羞耻心不起作用,或许是时候采取更极端的措施了。接下来,如果“良好”的DNS服务器停止对黑名单打开的解析器做出响应,这可能会迫使那些懒惰的服务器清理自己的行为,就像Spamhaus等服务对电子邮件所做的那样。
网络碉堡和Spamhaus之间的冲突可能已经结束- 个人攻击在最近被捕(后被证明已经推出他的攻击从他自己的高科技货车上)。然而,除非该行业建立一个更智能的DNS基础设施,与DNS反射攻击DDoS的战争可能只是开始。
F5帮助组织满足需求,并抓住机遇,随之而来的是不断增长的语音、数据和视频流量、移动员工和应用程序——在数据中心、网络和云。雷竞技电脑网站全球最大的企业、服务提供商、政府实体和消费品牌都依赖F5的智能服务框架来交付和保护它们的应用程序和服务,同时确保人们保持连接。学习更多在www.f5.com。