2014年5月25日 星期日

DNS DDoS攻擊的類型

DNS DDoS攻擊的類型

主要根據各種不同協定或手法的攻擊模式而區分,方式五花八門,但現在也有人進一步歸納,提出較精簡的分法。


一般而言,DDoS攻擊的類型,主要根據各種不同協定或手法的攻擊模式而區分,方式五花八門,但現在也有人進一步歸納,提出較精簡的分法。

例如,Arbor Networks就這些威脅,簡單分成下列三大類:

1. 體積型的攻擊(Volumetric Attacks):對於大量佔用目標物或服務端網路頻寬的DDoS攻擊,他們稱為體積型的攻擊。

2. TCP狀態窮盡攻擊(TCP State-Exhaustion Attacks):針對一些以大量耗用網路基礎設施連線狀態為主要手法的DDoS攻擊,Arbor Networks稱為TCP狀態窮盡攻擊。

3. 應用層的攻擊(Application-Layer Attacks):針對網路第7層的DDoS攻擊,也就是應用層的攻擊,手法較為複雜、精緻,並且行蹤很隱匿,以傳統的流量監控較難以做到主動、即時偵測,更別說遇到這類攻擊,還能做到即時反應。

Radware在DNS攻擊分類歸納上,則是根據濫用DNS的方式區隔,他們提出下列4種:

1. 基本洪水攻擊:這種攻擊會送出許多DNS請求到DNS伺服器上,企圖耗盡這些伺服器的網域名稱解析器,以及快取資料庫資源。

2. 遞迴式洪水攻擊(Reflective DNS Flood):攻擊者會對DNS伺服器,送出並不存在DNS快取資料的網域名稱解析請求,增加DNS伺服器與網路頻寬的負擔。

3. 折射式洪水攻擊(Reflective DNS Flood):許多攻擊者都很喜愛的攻擊方式之一,也是當前最受矚目的攻擊類型。折射式DNS洪水攻擊單靠有限的資源,而且不需自行架設的DNS伺服器,就足以產生巨大的網路流量,同時因為當中運用了偽冒的IP位址,因此受害者難以追蹤那些發動這類攻擊的人。

4. 垃圾洪水攻擊(Garbage Flood):這種攻擊會利用53埠,對DNS伺服器發出大量封包,進而塞暴伺服器對外的網路連線,並且讓DNS名稱解析器疲於奔命,也就無法服務正常查詢請求。

在上述的DNS折射式洪水攻擊當中,還可以同時運用放大攻擊(Amplification Attack)的手法來推波助瀾。

1. 正常型DNS回覆:通常每次域名查詢所回覆的資料量,會是提出請求時資料的3到4倍。

2. 研究型DNS回覆:駭客會研究DNS伺服器,並且找尋哪些合法查詢能夠導致大量回覆。有些時候,資料量放大的效果可達到原始查詢請求的10倍。

3. 精緻型DNS回覆:攻擊者會破壞一臺較不安全的DNS伺服器,並確保他提出的請求所得到的回覆資料量,可達到DNS封包的上限──4096 bytes。在這種方法下,資料量放大的效果可達到100倍。

轉載自《iThome》