恶意DNS流量攻击研究要点.docx
- 文档编号:24160510
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:13
- 大小:23.82KB
恶意DNS流量攻击研究要点.docx
《恶意DNS流量攻击研究要点.docx》由会员分享,可在线阅读,更多相关《恶意DNS流量攻击研究要点.docx(13页珍藏版)》请在冰豆网上搜索。
恶意DNS流量攻击研究要点
第24卷第9期2007年9月
计算机应用与软件
Computer
VoL24No.9
SonwBre
S8p.2007
Application8粕d
恶意DNS流量攻击研究
李军利1
h晓燕2张根耀1
张震1
1(延安大学数学与计算机科学学院陕西延安716000)
2(延安大学计算中心陕西延安716000)
摘要DⅣs是重要的基础设施,用于域名服务,在负载均衡、移动IP等方面也有着重要的应用。
分析了针对DNs的几种攻击行为类别,讨论了DNs流量激增对互联厕妁正常运作曲影响,并提出了恶意DNs流量攻击、蜂窝教应概惫,绐出了几种导致DNs、流量激增的措施,给出了能导致互联网DNs流量擞增vc#的实倒代码,最后讨论了针对DNs流量攻击的应对措施。
关键询
DNs
DDos
c/s
DNs流量
DNs流量攻击蜂窝效应网络拥塞
ARESEARCHoF
THEⅥCIoUS
BuXiaoy柚2
ATTACKSoNTHEDNSFLUX
U
Junl—
‘(&训矿凸唧眦r&如脚,y帆,肌蹦mm毋,‰协玎伽,s‰删,伪m)
zha“gGenyaDl
zhangzhenl
2(&,舸矿凸n呻,地咖n‰i啪酊.hn,帆刀6DDD,Sh∞腓.秭‘脾)
de“ce瑚edindomajn
Abs叫
DNs
DNs扭thefundamental
n蛐e吲唧ices.Ith舶wide
aIld
bile口.11i8anicle们alyze日tIletype6
ti∞。
fin溆雠tIth皿p。
叩。
血g出econcepfofDNS
0nthe加Hn丑Iofatt幽coD舰一p硼illgDNs,discus北Bthee%c饵ofthe
nuxAt‰k锄dbeehive池t皿dp啦娃拄g姗ardme蛳Ir糌inducing出ejnc艘of
sh8rpinc仲a5eofthenux
opcm・
sharp
oftheVc#whlchmayinducetlle
i。
np咖‘印plication
0fDNs
in10adiIlgbala力oe
andⅡ肛
nⅡ.niB耐cleals0舀v瞄tlle蛆mplecodeB
把m脚ur糟kme矾Sn眈attackB.
Bh8rpincr龃se
n眦蚰dshed5li曲塘叽nle
coun一
K州ords
0引言
DNSDDos
c/S
DNSn吐DNSnuxattackBeehive
e&ct
I栅etc∞ge甜i叫
似乎也没什么问题,却偏偏被盗走了银行帐号和密码”等事件屡有发生。
这些事件的发生也使人们逐步认识到DNS的安全的重要性。
普遍认为.针对DNS的攻击主要有以下几种:
DNs(Domainn锄es弘tem,域名系统)是多层次的分布式数据库系统,基本功能是负责提供域名和IP地址之间的映射,DNs采用客户端/服务器(c/s)的方式工作,在DNs服务器中存放有域名信息,允许客户端访问所需的数据,如查询指定域名的IP地址。
DNs的结构为倒置的树形结构,每一个树节点为一个域,每个域由不同的组织管理,可包括由子节点构成的子域。
DNs是Intemet的基本支撑服务,其安全性、有效性具有举足轻重的地位。
对于DNs的安全与性能问题,人们普遍认识到了DNs面临的拒绝服务、缓冲区中毒、区域信息泄捕等众多威胁.但对DNs流量激增可能导致互联网变慢,甚至中断的问题关注不够。
本文讨论了DNs流量激增对互联网的影响,并讨论了几
(1)域名劫持通常是指通过采用黑客手段,获得域名可以控制的DNs服务器的帐号、密码等信息后,通过在该DNs服务器上掭加相应域名纪录,实施域名“劫持”,从而使访问该域名时,进入了黑客所指向的内容。
(2)域名欺骗(缓存投毒)
域名欺骗攻击现象就是利用
DNs缓存,实施域名重指向功能,从而使所有使用该缓存服务器的用户得到错误的DNs解析结果,此类攻击也叫DNs高速缓存攻击。
会让攻击者破坏受害人网站中整个DNs系统;重新路由选择基于网络的应用程序(如H1TTP,兀P,sMlP,DNs.Po∞,IMAP,sSH等),这些程序都是以DNS名为基础,而不是口地址;攻击者还可能会窃取各种与商务有关的用户名或密码;重新路由选择商业邮件,破坏正常的商业活动,对用户造成严重损失…。
1
(3)DNs服务器DD0s(分布式拒绝服务)攻击主要是针对提供DNs的服务器攻击,攻击者针对DNs服务器本身,通常
近年来发生的网络攻击和破坏事件越来越多,针对DNs的攻击可以影响www等服务的正常提供,曾经造成很多互联网服务的故障或者瘫痪…。
DNs安全同题涉及的因素很多,基于DNs的攻击形式也是多样的,后果变现也不尽相同.例如“用户在浏览器输人A的网址,却连接到了其他页面”、。
明明输了银行的网址,而且其页面
收稿日期:
2006一12一18。
李军利,讲师,主研领域:
计算机网络,敫据库。
种可能导致ONs流量激增的攻击方式,并试图寻求解决办法。
常见的针对DNS的攻击行为
利用服务器软件(如BIND程序)中的漏洞,或者服务器操作系统的漏洞、后门程序等手段人侵DNs服务器,导致DNs服务器崩溃或拒绝服务。
万方数据
第9期李军利等:
恶意DNs流量攻击研究
20l
(4)利用DNs作为“攻击放大器”,击攻击其它主机其原理为黑客用被攻击主机的口地址作为源IP地址向多个DNs服务器发送大量DNs查询请求,DNs服务器将会把大量的查询结果发送给被攻击主机,从而导致被攻击主机所在的网络拥塞而影响其对外提供服务。
2为什么要讨论DNS流量问题
(1)最基本的理由是经济性,在流量计费制度下(例如教育网).流量是要付费的。
恶意的、无用的、大量的DNs流量将导致一笔不小的开支。
(2)剧烈的DNs流量可能会加大DNs服务体系的负担,从而导致服务质量下降。
(3)在现有带宽不变的前提下,恶意的DNs攻击会占用有效带宽,从而影响其他服务的带宽。
(4)正常使用互联网时,很多基于网络的应用程序(如肌
TP、丌P、sMTP、DNs、POP3、IMAP、ssH、MMs等)在描述网络地址(如uRL)都是以DNs名为基础,而不是IP地址,需要使用DNs体系实现DNs名称到IP地址的转换,所以正常应用本身就会产生大量的DNs流量。
(5)恶意的DNs流量攻击,可以产生DNs流量放大效应,我们暂且把这种放大效应形象地称为“蜂窝效应”。
“蜂窝效应”是这样产生的,当一个主机向它所在的域,向其DNs服务器请求一个符合DNs规范但事实上并不存在的域名的JP地址解析服务时,可能会在互联网范国内引发一次对于这个虚构的DNs域名的查询过程。
在互联网上产生了大量的DNs流量,但这些流量的结果是告诉你这个域名并不存在。
这就好比你要在世界上找到一只可能有,但事实上却并不存在的蜜蜂一样,你要逐个地去查看所有的蜂窝中的所有的蜜蜂,尽管你一个一个地找遍世界上所有的蜂窝,比对了所有的蜜蜂,最后却并没有找到那只虚构的蜜蜂一样。
因为它本来就是虚构的,但这只虚构的蜜蜂(1P地址),确实使你“捅了蜂窝”。
(6)目前世界上的许多DNs服务器已经基本上是满负荷运转,假如DNs流量翻一番的话,就可能会造成严重的后果,数据传输速度会急剧降低。
(7)试想,如果有数以万计的计算机在某个时间段内,把自己的DNs请求频率(可以理解为单位时间内发送DNs请求的数量)提高为正常频率的10倍、100倍,而我们却不能预先发现这种可能的话,将会怎么样?
互联网会中断吗?
鉴于以上讨论,我们有必要关注DNs流量问题以及其他类似的可能会产生恶意流量的问题,下面仅探讨DNs流量发生的基本原理和恶意DNs流量问题。
3
DNS流量攻击及其原理
如我们所知,正常的DNs体系有以下特点:
(1)DNs体系为域名和口的互相转换提供服务;
(2)DNs对域名和IP之间的解析“有求必应”,被恶意利用
时,那么优点也会成为缺点;
(3)DNs却无法判断一个请求是善意的还是恶意的,对恶意的更容易放大其在整个互联网范围的流量;
(4)DNs对任何膏求的处理都需要消耗时间和资源,而恶意的请求会消耗更多的资源,不仅会消耗宿主主机资源,而且会严重消耗互联网的带宽;
万方数据
(5)单位时间内查询次数越多,引发DNs总流量越大。
如果恶意利用以上特点,在一段时间内.大量发送DNs请求,就会导致“蜂窝效应”,导致互联网上的DNs流量的激增,可能产生大量的无用的DNS流量,增加DNs服务器的负担,严重时可能导致互联月传输变慢,甚至中断。
我们暂且称之为“DNs流量攻击”。
DNs流量攻击可以有几种形式,例如:
(1)单点(单机)模式由固定的单个主机或者几个主机发送大量的伪装包,用DNs作为“攻击放大器”,既能导致被攻击的主机停止服务,也可产生极大的DNs流量,导致“蜂窝效应”,危害较小;
(2)礼拜模式透过病毒等方式,事先把恶意的软件分布到世界各地的机器上,在特定的时间点上,陆续启动,发送大量的恶意DNs请求,造成集团攻击的巨型。
蜂窝效应”,将可能严重考验互联网的正常运转,危害巨大。
下面是一种DNs流量攻击的实现。
仅给出模型供参考。
4使用PING命令实现DNS流量攻击
4.1
P圳G命令简介
PING命令,通过发送IcMP报文束实现目标主机是否可达的测试工作,其用法如下:
usage:
pi“g[一t][一a][一nc叫nt][Jske][_f]卜iTTL]
[-vTos][一rcounc][一8count][[.jh∞t-“甜]|[-k110Bt.Ii8t]][-w
timeout]18fget—Jlame
PING命令实现DNs流量攻击的原理
(1)PING一个非IP地址的域名时将引发DNs解析过程;(2)PING命令并不知晓一个目的域名是否真的不存在;(3)PING一个域名要消耗时间,要产生DNs流量和IcMP流量等;
(4)PING一个并不存在的域名消耗的时间比PIHG一个存在的域名消耗的时问更长,要产生更多的DNs流量,原因是DNs服务器要搜索完它所有的记录才可以发现这个地址它并不知道,然后它还会去它的父域或者于域查询,并逐一返回查询结果,从而导致“蜂窝效应”;
(5)如果不断变换并不存在的目的地址,就会连续产生DNs请求,从而使得服务器疲于应付这些恶意的DNs请求,增大了服务器的负担,使得DNs无暇顾及正常的DNs请求,达到破坏互联网络的目的。
4.2实例代码
下面是在Vc#下实现的单机模拟“DNs流量攻击”的代码,允许指定连续发送PING命令的次数和后缀域名(如果指示了后缀域名,则可对特定的域事实DNs流量攻击)。
这段代码使用windowsxP的cMD进程,通过执行PING命令,目标主机地址也可以随机生成,将会导致短时同内发送大量的DNs请求数据包,从而导致DNs系统的动作,增大DNs流量在整个网络流量中的比例。
pdv砒c“dblllt叫1-cHck(object哪dcr,Evcn帅e)
{t陆s.t嘲Boxln时+=”测试结果:
、r、n。
;
Syskm,Di89∞8bcs.f'oc髓8p;
p2ndw
syBt删D1agr啪dcshoce嚼();
p.S删出.RIeN锄蛤=4曲d.e秽;一
p.S嘲I幽.UBesheUE砒u忙=f妇}p.SⅢI面.R。
d腿ctS咖dardInput=咖;
计算机应用与软件
2007年
Pl黝hb
Red托c£sl虮d#d{htput=lmo;
p
S陆Inb
md}呲dtmdadF…In-c;
p
sta曲血.Cm啪No讪nd州々仃uo;
p
sL缸().R口ndomt…p=n删R删d咖();
“”g5trRnp8n,h叫小u;;山lI,ledhl;
h∞出m=愀LB砒T眈‘;//指定特定主域
d∞I“c0Llm=th咖帆UpDo眦1.v山e.//获取拔数
mmI扭IB缸1.1钒+;spkm.Dat娟舭.N槲1韬|㈨g();h(h02i=0;i(cou…;i¨)
{dM=‘mp.N枷帅hk()・仃nP-N幅t();
p锄=dbL。
№sti蛔()+h删血ui;
Pst卸d础”Putwnk“be(’in矿+pm+。
一nt6);Ip
sbnd枷nPm.wHkune(”髋lt”);
s岫lBt=m‰dardou午m
ReadnErId();
m.晷慨EB眦】1柚+=日rR“;PDi8P咄();J
代码运行时台引发大量的DNs流量。
影响正常的DNs服务。
在我们的实验环境中,当多台主机同时执行DNs流量攻击程序时,整个网络的速度明显壹慢,使用网络测量仪器可以发现,运行此代码后,DNs流量的所占总流量的比例明显增大。
由此可见,如果只是一两台主机运行此程序,对剐络的威胁或许不大,但如果在病毒程序中嵌人类似的代码,充分扩散后,在持定的时间点上,如果数以万计的}I算机同时产生大量的DHs请求数据包,那幺对网络的威胁可能是致命的。
另外,如果把“上代码的功能使通过构造IcMP报文、构造虚假的源地址,然后再发送的话,那么DNs服务器将会成为攻击其他主机的跳板,从而实现在对特定主机的DDOs攻击的同时引发DNs流量攻击。
5其他可引发DNs流量的行为
5.1通过浏览器发送大量的uRL请求
在浏览器的uRL输^RuL数据,回车后将首先引发DNs查询。
如果迅速、不断地重复要求浏览器,访问某个主机上的虚构的文件时,该主机将茸先查询它是否有这个文件,最后再告诉体这个文件不存在,或告诉路这个地址并不存在,这样也会}!
发DNs攻击。
使用Vn、Vc#其宴现也很简单,只需在程序中露加一个w出杖i览控件,并使用定时器,不断变按其uRL属性.让程序自动生成并去访同这些随机生成的uItL,就会引发DNs流量,如果千万台计算机鄙这么做,那后果就会很严重了。
5.2口V6与卫PV4共存会导致DNS流量激增吗,
嚣近阿卜很多^在讨论“硒nd口啪V,如是胥会减漫互联网的
发送给cNEl’Ne㈣的一份声明中,反驳说,“vI嘲可能会造成
数据传输速度,或使数据传输停顿的问题”,尽管有资料表明微软在DNs流量的增长.但增长的幅度不会达到鲍罗预计的水平”、“其他
专家也支持微软,认为鲍罗的预测与他目前在蹦s产品厂商N锄i一
恤任职肯芰”“。
但从中也不难看出“vi山可能舍造成oNs流
量的j曾长”,尽管我们可把这看作是正常的DNs流量,但选件事情。
却还是从另一个角度证实了我们担心的“DNS流量攻击”的危害性和严重后果.足以引趁此界的重视。
6如何防范DNs流量攻击行为
(1)求助IDS:
通过IDs检测.我们可以设置一些关于DNs
万方数据
流量的规则.例如单位聪同内,如果某个主机连续发送DNs请求数据包超过门限悄,则进行记录,并通过设置相应的规则阻断、或着临时阻断浚主机的所有连接或者丢弃来自于该主机的DNs请求、IcMP数据流。
从而帮助我们找到这种攻击的束碌主机.并加以处置或者用于预警。
(2)及时更新DⅣs服务程序:
使用更新版本的DNs程序是必要的,例如厦时更新版奉的BIND程序,厦时为DNs服务器打上补丁程序.升级漏洞程序是必娶舶。
<3)防火墙/路由嚣:
采用和IDs类似的力法.发现并限制。
DNs流量的攻击”,这些需要防火墙/路由器软件的支持,井要求管理人员启用相关的设置信息。
(4)提高DNs服务从业人员的专业素质。
加强管理.或者采取DHs服务专业外包的措施。
I】Ns外包是一个不错的解决办法。
而且资料表明国外已经有很多戚熟的经骑可以借罄。
7结语
本文总结了针对DNs的攻击行为的种类.提出基于DNs的“蜂窝效应”、“DNs流量攻击”等概念,并给出了一段流量攻击的实验代码.希挚能引起大家的重视,积极加“讨论。
[1]h¨p:
//…dubB
nc∥nw一呻d删/08加8/89蛳日hI|ll
参考文献
[2]k币:
∥一…m/…sli盹∞p?
^IlickID=192
[3]h呻;//一h暇cha“舻蚍hL嘴ef.∞m.en/8s,1939588.出td.
[4]k巾:
∥…J甜y.口,吖d1目t出Ⅵ州php?
ld=2177
[5]车希,刘宏,桃崎,杨涛0E在TPs瞄中的应用:
J]计算机工程与
应用.2006(19)
[6]沈士根.基于墟名表坑的证书验证系统研充与支理[J]计算机应
用.2006陋)
《上接第156页
4总结
作为JPEc升级版的JPEc2000.其所具有的新特征最终归园于基于小被的嵌人式算法的应用。
但是JPEG2∞0在超低码率时存在“飞萤”敏应,此时采用D9/7小渡要优于栗用D5/3小渡的压缩效果;而且JPE(2【)00的复杂虚和所需空间较大,这使它压缩时间远远高于JPEG。
有关研究表明在JPEG20。
0压缩过程中EBcoT编码约占总时间的60%.如何有效地提高EBcoT编码效率,降低其复杂度.还有待迸一步研究。
参考文献
[】]s11叩’mJM.EⅢb—ddi口8铲∞d缸g…E”呲一越w删dH
t~
mm.J】ⅢEE1饥枷s’g柚nooessl“g,l鲫3,4l《12):
3445
—3463.
[2]A面r‰d,wlulamAP咖l~AⅡ州.柚.明d
dbcle址hna鲈co如
b哪一0n村p叫m曲i略Ⅲhi哪mh;脚In憎[J]皿EETmns町L㈣m
∞cI删i衄试sym册8缸Vi如豫h山口,】996,6《6);2好一250.
[3】T丑曲rr蛐D
Hi曲Pe喻唧肌∞删aMe|m眯∞…p…埘山EB-
cOT【J1.IEEElhIa帅lmn薛P附啪lng,2肿O.9(7):
l’58一1170.
[4]张益贞,刘鸿Vimlal
c十+实现MI吧G/肺6编码解码技术:
M].
北京:
人民邮电出版社,2∞2:
111一113,
[5】高守传,娥颁田Vbudc++实践与提高一数字国像处理与工程
应朋篇【M].北京.中国铁道出版社,2006。
29B一292.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 恶意 DNS 流量 攻击 研究 要点