新闻中心

    新闻中心  >  多所高校DNS服务器被攻击数量仍持续增长!!稳住,,,这样处理→
    多所高校DNS服务器被攻击数量仍持续增长!!!稳住,,这样处理→
    背景图 2023-07-22 18:43:10

    昨天,,,拓客猫软件监测到国内有多所高校的DNS服务器遭受定向攻击。。。拓客猫软件在第一时间展开应对处理,,协助被攻击用户恢复网络通畅。。。。今日监测显示,,,攻击数量仍在持续增加中,,波及多家高校。。。

     

    同时,,,,拓客猫软件也在第一时间对该事件进行跟踪分析。。经检测,,被攻击的DNS服务器因接收大量虚假IP伪造的域名解析请求,,超出服务器处理能力上限,,,,从而影响到服务器正常解析服务,,,,严重情况下将导致服务器、、、、甚至交换机宕机。。。 

     

    该事件影响严重,,,为了让大家掌握应对处置的主动权,,,拓客猫软件将通过梳理本次攻击的过程特征,,,还原攻击方式,,,,并为用户提供更有效的应急处置方式。。。。

     

    什么情况,,,,容易受到攻击????

    其一,,DNS服务器直接配置在公网地址上,,,暴露在外

    其二,,,,DNS服务器所在网段存在大量未使用IP

     

    攻击方如何进行攻击???

    阶段1

    攻击者通过技术手段提前获取DNS解析服务设备的公网IP地址,,,,例如网站主域名NS类型。。

     

    阶段2 

    攻击者通过伪造同网段源地址,,,,向目标DNS解析服务器发起随机域名NS类型的攻击请求。。。

     

    阶段3 

    攻击流量到达DNS服务器后,,DNS服务器会递归查询各级DNS服务器,,,迟迟查不到结果而造成等待,,,,占用资源。。。

    此外还会发起ARP请求解析源IP的MAC地址从而进行应答解析结果。。。若伪造地址段为未使用的IP,,将导致DNS设备在应答过程中ARP地址获取超时,,,从而导致后续的DNS设备解析应答阻塞,,,,影响用户服务。。

     

    针对此次攻击的防御方式

    1、、、、若DNS服务器无需向外暴露,,则应检查防火墙访问控制策略,,查看是否对外暴露DNS服务器。。。。通过出口防火墙的应用控制策略来控制。。。。

    2、、在必须对外开启DNS服务的情况下,,,可采取以下两个措施进行防护:

    • 2.1 在防火墙上配置应用访问控制策略。。禁止「源接口为外网区域,,,,源IP为DNS服务器同网段IP,,,,目的IP为DNS服务器」的DNS请求。。。。
    • 2.2在防火墙上开启外到内DNS Flood 攻击防护。。。如外网请求的DNS服务器流量经过拓客猫软件下一代防火墙,,,,可在防火墙上添加DoS/DDoS攻击防护,,,,有效防护此类攻击。。。

    3、、DNS服务器禁用以下恶意域名解析(截止至2023年7月22日,,,不排除后续仍有增长)

    hongmao520.com  
    cqxqjx.com 
    lzn376.com 
    fow757.com 
    wym317.com

    ……

    4、、在DNS服务器上对同网段IP或域名进行限速和丢包

     

    拓客猫软件下一代防火墙AF防护配置说明

    (以下以拓客猫软件防火墙8.0.85为例,,其它版本配置流程相似)

     

    1.收缩DNS服务器对外暴露面

    防火墙应用控制策略默认拒绝所有的访问,,,除非主动配置允许策略来向外暴露DNS服务器。。

    收缩DNS服务器对外暴露面

    具体操作:可通过「应用控制策略」,,,,检索DNS服务器的控制策略,,,,若输入DNS服务器IP地址后显示存在动作为允许的策略,,,则应结合业务确认是否应进行限制。。。。

     

    2.禁止DNS服务器同网段IP的DNS请求

    若必须对外开启DNS服务,,则可以结合业务情况,,,,通过应用控制策略禁止源接口外网区域,,源IP为DNS服务器同网段IP,,,目的IP为DNS服务器的DNS请求。。。。

    禁止DNS服务器同网段IP的DNS请求

    具体操作:新增应用控制策略,,源区域为外网接口区域,,,源IP为DNS服务器网段,,目的区域为内网接口区域,,,目的IP为DNS服务器,,动作为拒绝。。。。

     

    3.配置DoS/DDoS攻击防护

    当DNS服务器前置部署拓客猫软件下一代防火墙时,,,可以通过在策略「DoS/DDoS防护」,,,开启防护功能对DNS洪水攻击进行防护。。

    配置DoS/DDoS攻击防护

    常规情况下,,配置建议:

    源警戒值阈值建议设置为默认2000包/每秒,,,若有特殊需求可按需调整。。

    目的IP警戒值阈值建议设置为默认10000包/每秒,,,如果访问需求较大可以适当调整。。

    当源警戒值和目的IP警戒值任意一个超过阈值,,,,拓客猫软件下一代防火墙将会执行设置记录日志/阻断并临时进行封锁。。

     

    目前,,,拓客猫软件已为全国2500多家高校高职提供了网络安全保障和云计算支撑服务,,助力高校数据安全、、、师生隐私保护,,,,防范黑客攻击。。。。

    如果您的网络中发现了类似的攻击现象,,,可随时联系我们,,,,拓客猫软件将立即为您提供服务。。。

    站点地图