首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

浅析 DNS 反射放大攻击

DNS 反射放大攻击分析 前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。...简介 DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址为受害者 IP,将应答包的流量引入受害的服务器。...简单对比下正常的 DNS 查询和攻击者的攻击方式: 正常 DNS 查询: 源 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 源 IP 地址 DNS...攻击: 伪造 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 伪造的 IP 地址(攻击目标) 分析 从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点...大量的流量都来自正常的 DNS 服务器 攻击者通过伪造 IP 向正常的 DNS 服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实 IP。

5.1K40

Memcached DDoS反射攻击如何防御

下图为监测到Memcached攻击态势。...美国东部时间28日下午,GitHub透露其可能遭受了有史最强的DDoS攻击,专家称攻击者采用了放大攻击的新方法Memcached反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。...据CNCERT3月3日消息,监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。...用高防IP充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被DDoS攻击时才能保证业务可用性,从容处理。...---- 参考文献: 《放大倍数超5万倍的Memcached DDoS反射攻击,怎么破?》 《How To Secure Memcached by Reducing Exposure》

2.5K40
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于TCP反射DDoS攻击分析

    众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包); 2、...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。

    1.3K50

    Memcache UDP反射放大攻击实验

    无耻的接受了p猫的py交易,自己也想实验下memcached这个放大攻击 0x01 前言 近日,一种利用Memcached缓存服务器来作为放大器的DRDOS攻击来势汹汹,多家安全机构检测到了这种反射放大攻击...,其利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击,从而形成DRDoS反射。...攻击者随时可以通过代理或者控制程序同时向所有肉鸡发送大量攻击指令。 3. 所有肉鸡在接受指令后,同时大量并发,同时向受害者网络或者主机发起攻击行为。 DRDoS要完成一次反射放大攻击: 1....攻击者,必须提前需要把攻击数据存放在所有的在线肉鸡或者反射服务器之上。 2. 攻击者,必须伪造IP源头。发送海量伪造IP来源的请求。当然这里的IP就是受害者的IP地址。 3....反射服务器,必须可以反射数据,运行良好稳定。最好是请求数据少,返回数据成万倍增加。 如此不断循环,就可以大规模攻击其带宽网络,增加占用率和耗损目标机的硬件资源。

    2.9K100

    Memcached反射放大DDoS攻击威胁分析

    2018年2月27日,多国CERT和多家网络和云运营商报告称,恶意攻击者正在使用不安全配置的Memcached服务器来借力放大DDoS攻击。...根据报告,Memcached的带宽放大因子(Bandwidth Amplification Factor)能达到10000-51000,远超过之前广泛使用的NTP协议的556.9,刷新了UDP协议反射放大...DDoS攻击的新记录,测试显示15byte的请求能触发750KB的响应,即51200的放大倍数,Memcached对互联网开放的无需验证的UDP 11211端口为成为了主要利用的DDoS反射器, Memcached...如果看到非空有内容输出的响应(如上所示),表示Memcached服务器容易受到攻击,特别是暴露在互联网上的主机。 ? Memcached安全配置建议 ?...同时建议网络运营商实施源地址验证(BCP38/BCP84)标准,以防止其网络和最终用户的网络受到反射/放大DDoS攻击的影响。

    1.4K50

    研发:认识反射攻击放大效果

    对于大规模DDoS,长期以来存在一个误解:很多人甚至包括大量IT从业人员都觉得组建一个僵尸网络技术要求很高、非常困难,因此大规模DDoS攻击是很少见的。...发动一次中等规模的DDoS攻击数千美金即可实现。 二、 流量放大技术 流量放大是DDoS中常用的技术手段,基本原理相对简单。...图 1 典型DDos流量放大 表 1列举了一些经常用于反射型DDoS攻击的协议及其放大倍数。...表1 常见反射性DDoS攻击的放大倍数 三、 NTP反射式DDoS攻击 迄今为止最大规模的DDoS攻击来自于NTP协议反射式DDoS攻击,本节将通过一些细节来说明如何发动NTP反射式DDoS攻击...如Cisco Linksys TCP-32764后门,它允许攻击者绕过认证间接控制目标,这个漏洞影响范围非常的广,并且网上都有现成的poc[2]和exploit[3]。

    94130

    利用Memcached的反射型DDOS攻击技术分析

    基于Memcached的反射攻击技术分析 利用Memcache的反射攻击最初由360信息安全部0kee Team在2017年6月发现,并于当年11月在 PoC 2017 会议上做了公开报告,详细报告可参见参考链接...要完成一次UDP反射放大攻击,需要满足以下几个基本条件: 作为攻击者,需要能伪造IP,并发送海量伪造来源的请求。...作为反射服务器,上面需要运行着容易放大反射攻击的服务,而运行了设计不当的UDP协议的服务是最佳的选择。 反射服务器的响应包最好远远大于请求包,这样才能使用较小的攻击流量进行高流量的DDOS攻击。...反射服务器对应的协议或服务在互联网上有一定的使用量,比如本次攻击中的Memcached。...攻击流程 完成一次针对Memcached的UDP反射放大攻击,基本攻击流程如下: 扫描端口和服务,抓取协议指纹,获取未认证的Memcached。

    1.3K40

    浅谈拒绝服务攻击的原理与防御(5) | NTP反射攻击复现

    0×01 故事起因 前两天以为freebuf上的网友stream(年龄、性别不详)私信我说他在阿里云上的服务器被NTP攻击了,流量超过10G,希望我帮忙一起分析一下,复现一下攻击。...我这当代雷锋当然非常乐意了,于是我就和stream联系(勾搭)上了,今天我就详细讲一下我们一起复现NTP反射攻击的过程。...0×02 分析攻击数据 stream大兄弟把当时抓到的包发给了我,数据包不大只有31.4M ? 当我打开数据包看了下时间才知道这数据包可不小啊!...然后我修改了上次发的那个攻击脚本,把NTP的payload加了180个00,做了一下测试,攻击了一下stream的阿里云服务器 ? 看看攻击效果 ?...能打出2.2G的峰值,但是跟攻击者的10G 20G差很多,可能是我带宽的原因,当然也可能是攻击脚本不完美,日后还需要继续改进才行。

    3.8K50

    小隐隐于野:基于TCP反射DDoS攻击分析

    众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...image.png 0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。

    10.4K200

    OpenV**服务被利用于UDP反射放大DDoS攻击

    概述 2019年09月10日, 华为AntiDDoS8000设备某荷兰数据中心局点捕获新型UDP反射放大攻击反射源端口为1194。...客户在AntiDDoS8000清洗设备上配置硬件过滤规则有效阻断了攻击。华为未然实验室通过对攻击流量深入分析,很快发现攻击流量来自在网络中开放的OpenV**服务。...根据该特性,结合UDP反射攻击手法,即可实现UDP反射放大攻击。为了更高效的利用反射源,客户端需要将每次请求的源端口设置为不一样,如果是同一个源端口,在30秒有效期内,将被忽略。...攻击风险 通过shodan网络空间搜索引擎查询,可以发现在网络空间有将近70万个对外开放的OpenV**服务。...如果攻击者利用这些OpenV**服务进行UDP反射放大攻击,将会对被攻击者造成严重影响。

    1.4K10

    【风险预警】RPCBind服务被利用进行UDP反射DDoS攻击

    近日,腾讯云安全中心监测发现多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例,腾讯云已启动相关安全响应流程进行跟踪应急。       ...利用RPCBind进行UDP反射DDoS攻击的事件相对较少,这也是腾讯云安全今年以来捕获的首例利用云主机上的RPCBind服务进行UDP反射DDoS攻击的行为。...不过其实早在2015年Level 3 Threat Research Labs就发现了这样一种新的攻击DDoS放大攻击形式,该反射方式放大系数最高可达28.4,US-CERT也在当时将该种攻击方式加入了...伪造源IP地址,将请求包中的源IP地址替换成攻击目标,反射服务器收到请求包发送响应来完成整个攻击流程。...【风险等级】 高风险 【漏洞风险】    存在该问题的用户,可能被远程恶意攻击者利用进行反射放大攻击,导致您的带宽被恶意利用,对第三方发起攻击,引起不必要的法律风险和经济损失。

    5.1K20

    隐秘的角落--基于某款游戏利用的反射攻击分析

    文|腾讯安全平台部宙斯盾团队 指玄 背景 从十月份开始,宙斯盾团队防护下的某款游戏业务持续遭受攻击,在对抗过程中,坏人不断变换攻击手法,包括且不限于四层连接攻击、七层CC攻击、TCP反射攻击、常规UDP...反射和漏洞利用型DoS攻击。...《Wolfenstein Enemy Territory》客户端创建的对战房间作为反射源,进行的DDoS反射放大攻击。...如18年很火的memcached反射近一年内的频率降低了许多。因此黑客也在不断寻找别的替代攻击方式企图绕过现有防御系统,本次利用W.ET游戏的反射攻击就是其中一种探索。...混合攻击:单独一个游戏可利用的反射源有限(笔者在凌晨0点搜索发现房间数为40-50个),但是现网已经检测到混合多个游戏发起攻击的情况; 4.

    79530
    领券