一种针对DNS缓存办事器的杠杆式报复打击

　　笔者发现一台国内的机械流量异常，查抄发现这台机械上运行的DNS缓存办事被人用作了报复打击的放大年夜杠杆，这里简单记一下。

　　发现流量异常，起首当然是查抄办事器上的TCP会话，发现了一些不太正常的东西，封锁以后流量削减，但仍然没有回到正常程度。

　　因而听包。这一听发现一***：

　　07:39:53.271744 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.271772 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.271784 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.271792 IP 158.XX.XX.238.53019 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.274225 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

　　07:39:53.274252 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

　　07:39:53.274262 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

　　07:39:53.274270 IP 92.XX.XX.148.31650 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

　　07:39:53.291822 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.291850 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.291860 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.291869 IP 158.XX.XX.238.13616 > XX.XX.XX.XX.53: 56854+ [1au] ANY? isc.org. (36)

　　07:39:53.291877 IP 92.XX.XX.148.56278 > XX.XX.XX.XX.53: 23600+ [1au] ANY? isc.org. (36)

　　明显，如许来自统一个 IP 地址，在短时候内几次查询统一个域名的现象是不正常的。为甚么会是 isc.org?临时不清晰，可是如许的行动，明显是操纵这台机械作为放大年夜报复打击的杠杆。报复打击者发出捏造成最终受害者为源 IP 地址的DNS查询包(这类包的尺寸较回应来讲要小的多)到受害的DNS缓存办事器，而这些缓存办事器因为在本地已有了查询到的域名信息副本(这些域名是存在的)，会当即向最终的受害者发出回应。如许，报复打击者就可以够用较小的带宽代价占满最终受害者的下行带宽，实现 DDoS 报复打击了。

　　因为是DDoS，在防御一方的角度看，禁止这类报复打击其实不等闲。不外，在传统的收集设计中，DNS缓存办事器是放在DMZ 里的，是以可以经由过程在路由上直接过滤掉落全数来自外部的 DNS 回应包来减缓这类报复打击酿成的影响。在运行DNS缓存办事器的治理员方面，则应限制对本身运行的DNS缓存办事器的拜候，例如只在内网接口上监听DNS查询要求，而外网接口只用来发出DNS要乞降领受这些要求的回应，避免被坏人操纵成为DDoS的杠杆。