前10名的DNS攻击可能渗透到你的网络

与传统防火墙的问题在于，他们离开端口53开启，这是DNS查询。因此，他们并不总是有效防范基于DNS的DDoS攻击，如放大，反射等，他们需要极高计算性能准确地检测基于DNS的攻击，使得深度检测在成本方面不切实际的做法和数量是需要的分发点。因此，传统的保护是无效的。

DNS不能下去，如果一个DNS服务出现故障，网络连接的设备停止工作。一个公司失去连接到互联网，因此不能在网上开展业务。这导致了收入，客户流失和负面的品牌影响力的损失。这里是看出来的顶级DNS攻击：

•结合的反思和放大

•使用第三方开放解析器在互联网（不知情的帮凶）

•攻击者通过发送伪造查询到开放递归服务器

•查询特制造成了非常大的回响

影响：

•会使受害者的服务器上的DDoS

DNS缓存数据的腐败

1.攻击者会查询恶意网站的IP地址的递归域名服务器

2.递归服务器没有IP地址和查询恶意DNS解析

3.恶意解析请求的流氓IP地址提供，也是流氓IP地址映射到另外的合法网站（例如www.mybank.com）

4.递归域名服务器的缓存流氓的IP地址作为地址www.mybank.com

5.用户查询www.mybank.com的IP地址的递归服务器

6.递归服务器回复用户，同时缓存流氓的IP地址

7.客户端连接到网站被攻击者控制，认为它是www.mybank.com

影响：

登录，密码，用户的信用卡号码可以被捕获

•使用3次握手是开始一个TCP连接

•攻击者发送伪造的SYN数据包与假目标的源IP地址

•服务器发送SYN-ACK的这些假的目的地

•它从未收到来自这些目的地的确认回和连接从未完成

•这些半开连接的服务器上的排气内存

碰撞

•服务器停止响应新的连接请求来自合法用户来

•使用DNS作为隐蔽通信信道到旁路防火墙

•隧道攻击其他协议，如DNS内SSH，TCP或Web

•使攻击者可以很容易地通过数据被盗或隧道IP流量，而不检测

•一个DNS隧道可以用于作为用于破坏内部主机一个完整的远程控制信道。

•也用于旁路圈养门户网站，以避免支付对Wi-Fi服务

影响：

•数据泄露可以通过该隧道发生

•修改DNS记录设置（最常见的域名注册商），以指向一个恶意DNS服务器或域。

•用户尝试访问合法网站www.mybank.com

•用户被重定向到黑客，看起来很像真实的东西控制的虚假网站。

碰撞

•黑客获取用户名，密码和信用卡信息

•攻击者发送查询的洪水到DNS服务器来解析一个不存在的域/域名。

•递归服务器试图通过实施多域名查询，找到这个不存在的域，但没有找到它。

•在这个过程中，它的缓存与NXDOMAIN结果填满。

影响：

•较慢的DNS服务器的响应时间为合法的请求

•DNS服务器也花费宝贵的资源，因为它不停地尝试重复递归查询得到解析结果。

•“幻影”域设置为攻击的一部分

•DNS解析器尝试解析是幻象域的多个域

•这些幻域可能不发送响应或他们将是缓慢的

碰撞

•在等待回应，最终导致性能降低或故障服务器消耗的资源

•太多优秀查询

•受感染的客户通过预先随机生成的子域串到受害者的域创建查询。例如。xyz4433.yahoo.com

•每个客户只可将这些查询的体积小到DNS递归服务器

•难以检测

•这些感染的客户多次发出这样的请求

碰撞

•回应可能永远不会从这些不存在的子域回来

•DNS进行回应递归服务器等待，优秀的查询限制耗尽

•目标域的auth服务器的DDoS经验

•解析器和域设置攻击者利用来建立与DNS解析器基于TCP的连接

•当DNS解析请求的响应，这些域发送“垃圾”或随机分组，让他们参与

•他们还故意慢回应保持解析器从事的请求。这有效地锁定了DNS服务器资源。

碰撞

•与行为不端域建立这些连接的DNS解析器耗尽其资源

使用僵尸网络的所有流量定位到某个网站或域•随机子域攻击

•攻击包括受损设备，如CPE交换机，路由器

•通过互联网服务供应商提供

•由客户提供

•这些恶意软件感染的CPE设备形成僵尸网络发送多个DDoS流​​量说xyz123.yahoo.com

碰撞

•受害者领域经验的DDoS

•DNS解析器资源枯竭

•当CPE设备被攻击，就会导致其他不良影响：

•SSL代理 - 登录凭据失窃等。

•启动点对客户的电脑和环境攻击（扩大妥协）

富尔顿是在Infoblox公司产品执行副总裁。