@xunuo
2018-05-07T20:32:46.000000Z
字数 1446
阅读 2273
异常流量
针对DNS的DDOS攻击[分布式拒绝服务](僵尸网络、模拟工具)
判断DNS请求流量阈值
局限性:热点事件产生的正常DNS请求流量超限的情况容易产生误报
针对通过非法域名以小博大的攻击方法容易漏报
DNS欺骗(缓存污染、DNS信息劫持、DNS重定向)
ok
静态特征:TTL<300,length(domain)>10,domain中数字字母混杂(可以不要!!!!)
动态特征:域名被大量用户请求,但回复为域名不存在,每天解析次数>1000.
域名请求数量
应答类型、数量
DNS缓存感染
使用DNS请求,将数据放入具有漏洞的DNS服务器缓存当中,在用户访问DNS服务器时,这些缓存信息将返回给用户,从而将用户引导到其他页面上。
DNS信息劫持 ok
伪装的DNS Server在真实的DNS Server到达之前发送应答数据报文,且其ID与客户端发送请求的ID相同。
特征:
1、发生时,客户端最少会收到两个及以上的应答数据报文,且其ID序列号相同(一个合法,一个伪装)。
2、两个响应包TTL相差较大。(使事件更加准确)
检测方法:
1、被动监听检测:监听所有DNS请求应答报文,在限定时间段内若一个请求收到两个或多个应答,则怀疑有DNS欺骗。(虚假的DNS响应包比较简单,只有应答域,没有授权域和附加域)
2、主动监听检测:主动发送验证数据包验证是否有DNS欺骗存在,通常这个数据包都是得不到相应的,但是若有欺骗存在,则黑客不会去验证ip的准确性而直接发生DNS应答包。若收到DNS应答包,则说明存在DNS欺骗。
一个请求对应一个应答,若出现第二个相同的ID,则标记为异常
ID
DNS反射放大攻击检测 ok
通过对向外开放的DNS服务器发送伪造源地址的请求来将应答流量引向攻击目标。
特征:
1、DNS响应包的length超过512byte,(放大倍数一般超过10倍以上);查询类型以ANY(255)为主(MX和ANY的响应长度不固定)
2、短时间内某一ip的请求数量骤增(同一网段还是不同网段,之前有还是无)只有请求/只有应答。
- 2.1 作为客户端:收到大量响应包,且这些响应包无请求包与之对应,响应包特征:1
- 2.2 作为服务端:收到来自同一个/多个IP的多次请求包,响应包特征:1
length
某时间段内ip请求number大
查询类型:ANY
DNS隧道
1、数据包请求应答比率:在大多数流中比率从0到1不等,但特定流有可见峰值。(>1.5)
2、每个目标地址的数据包分布:DNS会到服务器运行时IP地址不规则分布,高标准偏差值。
3、1个DNS多个请求多个应答。突见峰峰值。
4、DNS查询类型:使用预留或受限值(ex:0),标记后将其目的ip与常见DNS隧道服务器对比
DNS重定向
所需内容:
通过数据包读取:四元组、ID、查询类型、返回码,域名、数据包长度、TTL、
需要统计的信息:
1、应答ID出现的次数 >= 2 =======> 判断DNS信息劫持
2、(数据包长度>512) && (目的IP个数>阈值)=======>反射放大攻击[DNS服务器端]
3、(数据包长度>512) && (未知请求的应答报文个数>阈值)=========>反射放大攻击[被攻击者]
4、[响应包 reply code=3(不存在的域名)]的数量 >阈值==========>DNS僵尸网络
对现有DNS协议进行安全完善的拓展,在现有基础上增加了几个新的资源记录来达到这个目的。