幾周前，針對(duì)Cloudfare網(wǎng)絡(luò)的最大攻擊，以每秒千兆位 (Gbps) 的數(shù)量衡量。在過去的三周里，一名持續(xù)攻擊者每天二十四小時(shí)發(fā)送至少 20Gbps 的數(shù)據(jù)，作為對(duì)一位客戶的攻擊。

如此規(guī)模的攻擊足以癱瘓大型網(wǎng)絡(luò)主機(jī)。對(duì)于 CloudFlare，網(wǎng)絡(luò)的性質(zhì)意味著攻擊在全球數(shù)據(jù)中心被稀釋，不會(huì)對(duì)我們?cè)斐蓚�害。即使從成本的角度來看，由于批發(fā)帶寬收費(fèi)的方式，攻擊最終不會(huì)增加帶寬費(fèi)用。

鑒于最新的攻擊沒有影響，決定讓它運(yùn)行一段時(shí)間，看看我們能學(xué)到什么。

放大攻擊

DNS 放大攻擊是攻擊者放大他們可以針對(duì)潛在受害者的帶寬量的一種方式。想象一下，您是一名攻擊者，您控制著一個(gè)能夠發(fā)送 100Mbps 流量的僵尸網(wǎng)絡(luò)。雖然這可能足以使某些站點(diǎn)脫機(jī)，但在 DDoS 世界中，這只是一個(gè)相對(duì)微不足道的流量。為了增加攻擊量，您可以嘗試向僵尸網(wǎng)絡(luò)添加更多受感染的機(jī)器。這變得越來越困難。

最初的放大攻擊被稱為SMURF 攻擊. SMURF 攻擊涉及攻擊者向路由器的網(wǎng)絡(luò)廣播地址（即 XXX255）發(fā)送 ICMP 請(qǐng)求（即 ping 請(qǐng)求），該路由器配置為將 ICMP 中繼到路由器后面的所有設(shè)備。攻擊者將 ICMP 請(qǐng)求的來源偽裝成目標(biāo)受害者的 IP 地址。由于 ICMP 不包括握手，因此目的地?zé)o法驗(yàn)證源 IP 是否合法。路由器接收請(qǐng)求并將其傳遞給位于其后面的所有設(shè)備。然后所有這些設(shè)備都會(huì)響應(yīng) ping。攻擊者能夠以路由器后面設(shè)備數(shù)量的倍數(shù)放大攻擊（即，如果路由器后面有 5 個(gè)設(shè)備，那么攻擊者能夠?qū)⒐�擊放�?5 倍，見下圖）。

SMURF 攻擊在很大程度上已成為過去。大多數(shù)情況下，網(wǎng)絡(luò)運(yùn)營商已將其路由器配置為不中繼發(fā)送到網(wǎng)絡(luò)廣播地址的 ICMP 請(qǐng)求。然而，即使放大攻擊向量已經(jīng)關(guān)閉，其他攻擊仍然敞開著。

DNS 放大

一個(gè)好的放大攻擊向量有兩個(gè)標(biāo)準(zhǔn)：1) 可以使用欺騙性的源地址設(shè)置查詢（例如，通過不需要握手的 ICMP 或 UDP 等協(xié)議）；2) 對(duì)查詢的響應(yīng)明顯大于查詢本身。DNS 是滿足這些標(biāo)準(zhǔn)的核心. 無處不在的互聯(lián)網(wǎng)平臺(tái)，因此已成為放大攻擊的最大來源。

DNS 查詢通常通過 UDP 傳輸，這意味著，就像 SMURF 攻擊中使用的 ICMP 查詢一樣，它們是一勞永逸的。它們的源地址可能欺騙，并且接收者在響應(yīng)之前無法確定其真實(shí)性。DNS 還能夠生成比查詢大得多的響應(yīng)。例如，可以發(fā)送以下（微小的）查詢（其中 xxxx 是開放 DNS 解析器的 IP）：

digANYisc.org@x.x.x.x

并得到以下（巨大的）響應(yīng)：

;<<>>DiG9.7.3<<>>ANYisc.org@x.x.x.x;;global options:+cmd;;Got answer:;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:5147;;flags:qrrdra;QUERY:1,ANSWER:27,AUTHORITY:4,ADDITIONAL:5;;QUESTION SECTION:;isc.org.INANY;;ANSWER SECTION:isc.org.4084INSOAns-int.isc.org.hostmaster.isc.org.201210270072003600247968003600isc.org.4084INA149.20.64.42isc.org.4084INMX10mx.pao1.isc.org.isc.org.4084INMX10mx.ams1.isc.org.isc.org.4084INTXT"v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"isc.org.4084INTXT"$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"isc.org.4084INAAAA2001:4f8:0:2::disc.org.4084INNAPTR200"S""SIP+D2U"""_sip._udp.isc.org.isc.org.484INNSEC_kerberos.isc.org.ANSSOAMXTXTAAAANAPTRRRSIGNSECDNSKEYSPFisc.org.4084INDNSKEY25635BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJaXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssyq8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6HwjU1qzveSsW0=isc.org.4084INDNSKEY25735BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGrhhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy347cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQzBkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyLKOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bByBNsO70aEFTdisc.org.4084INSPF"v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"isc.org.484INRRSIGNS52720020121125230752201210262307524442isc.org.oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1jAkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NXUHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcpAco=isc.org.484INRRSIGSOA52720020121125230752201210262307524442isc.org.S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGacXCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrRhKk=isc.org.484INRRSIGMX52720020121125230752201210262307524442isc.org.VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu/rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+bzNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbSLcw=isc.org.484INRRSIGTXT52720020121125230752201210262307524442isc.org.Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeIJRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deRUhA=isc.org.484INRRSIGAAAA52720020121125230752201210262307524442isc.org.hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9/rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rFwg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA8Y4=isc.org.484INRRSIGNAPTR52720020121125230752201210262307524442isc.org.ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw5i4=isc.org.484INRRSIGNSEC52360020121125230752201210262307524442isc.org.rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jbMwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcrPi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQsFHY=isc.org.484INRRSIGDNSKEY52720020121125230126201210262301264442isc.org.i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUdBK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+ACL2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiwh0A=isc.org.484INRRSIGDNSKEY527200201211252301262012102623012612892isc.org.j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyjfN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MHqAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1SnlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqFJGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0Nch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/FDRdXjA==isc.org.484INRRSIGSPF52720020121125230752201210262307524442isc.org.IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyDZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r39HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhCkak=isc.org.484INRRSIGA52720020121125230752201210262307524442isc.org.ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzqUl3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp8+E=isc.org.4084INNSns.isc.afilias-nst.info.isc.org.4084INNSams.sns-pb.isc.org.isc.org.4084INNSord.sns-pb.isc.org.isc.org.4084INNSsfba.sns-pb.isc.org.;;AUTHORITY SECTION:isc.org.4084INNSns.isc.afilias-nst.info.isc.org.4084INNSams.sns-pb.isc.org.isc.org.4084INNSord.sns-pb.isc.org.isc.org.4084INNSsfba.sns-pb.isc.org.;;ADDITIONAL SECTION:mx.ams1.isc.org.484INA199.6.1.65mx.ams1.isc.org.484INAAAA2001:500:60::65mx.pao1.isc.org.484INA149.20.64.53mx.pao1.isc.org.484INAAAA2001:4f8:0:2::2b_sip._udp.isc.org.4084INSRV015060asterisk.isc.org.;;Query time:176msec;;SERVER:x.x.x.x#53(x.x.x.x);;WHEN:TueOct3001:14:322012;;MSG SIZE  rcvd:3223

這是一個(gè) 64 字節(jié)的查詢，結(jié)果是 3,223 字節(jié)的響應(yīng)。換句話說，攻擊者能夠?qū)λ麄兛梢詥��?dòng)到開放 DNS 解析器的任何流量實(shí)現(xiàn) 50 倍的放大。請(qǐng)注意，具有諷刺意味的是，基于響應(yīng)大小的攻擊的因包含巨大的 DNSSEC 密鑰而變得更糟——這是一種旨在使 DNS 系統(tǒng)更安全的協(xié)議。

開放式 DNS 解析器：互聯(lián)網(wǎng)的禍根

到目前為止，關(guān)鍵術(shù)語是“開放 DNS 解析器”。如果您正在運(yùn)行遞歸 DNS 解析器，最佳做法是確保它僅響應(yīng)來自授權(quán)客戶端的查詢。換句話說，如果您的公司運(yùn)行遞歸 DNS 服務(wù)器并且您公司的 IP 空間是 5.5.5.0/24（即 5.5.5.0 - 5.5.5.255），那么它應(yīng)該只響應(yīng)該范圍內(nèi)的查詢。如果查詢來自 9.9.9.9，則不應(yīng)響應(yīng)。

問題是，許多運(yùn)行 DNS 解析器的人讓它們保持開放狀態(tài)，并愿意響應(yīng)查詢它們的任何 IP 地址。這是一個(gè)至少存在 10 年的已知問題。最近發(fā)生的事情是，許多不同的僵尸網(wǎng)絡(luò)似乎已經(jīng)枚舉了 Internet 的 IP 空間，以便發(fā)現(xiàn)開放的解析器。一旦發(fā)現(xiàn)，它們可用于發(fā)起重大的 DNS 放大攻擊。

如果查看有關(guān)攻擊來源的地理數(shù)據(jù)，就會(huì)發(fā)現(xiàn)美國在列表中占主導(dǎo)地位，但這在很大程度上受到該國網(wǎng)絡(luò)數(shù)量的影響。按人均計(jì)算，最糟糕的地方是中國臺(tái)灣，該地區(qū)的 HINET 是世界上任何網(wǎng)絡(luò)的第二大開放解析器來源。以下是前十名最嚴(yán)重被濫用的開放 DNS 解析器。

想知道為什么大型 DDoS 攻擊有所增加？這在很大程度上是因?yàn)樯厦媪谐龅木W(wǎng)絡(luò)運(yùn)營商繼續(xù)允許開放解析器在他們的網(wǎng)絡(luò)上運(yùn)行，而攻擊者已經(jīng)開始濫用它們。

如果您正在運(yùn)行一個(gè)開放的遞歸器，您現(xiàn)在應(yīng)該關(guān)閉它。讓它保持打開狀態(tài)意味著您將繼續(xù)協(xié)助這些攻擊。如果您正在運(yùn)行 BIND，您可以在配置文件中包含以下一項(xiàng)或多項(xiàng)內(nèi)容，以限制攻擊者濫用您的網(wǎng)絡(luò)：

// Disable recursion for the DNS service//options {    recursion no;};// Permit DNS queries for DNS messages with source addresses// in the 192.168.1.0/24 netblock. The 'allow-query-cache'// options configuration can also be used to limit the IP// addresses permitted to obtain answers from the cache of// the DNS server. Substitute with your own network range.//options {    allow-query {192.168.1.0/24;};};