从断网事件分析DNS服务器拒绝服务攻击

事件原因和分析

  此次事件是一次联动事件,主要分为两个部分:

  1、DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意,导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击,导致DNS服务器过载以及线路堵塞。

  2、暴风影音的大量频繁的向电信DNS主服务器发起解析。导致各地区电信主DNS服务器超负荷。

  暴风影音作为广泛使用的软件,有成千上万的用户安装使用。然而其DNS解析机制存在缺陷。暴风公司仅仅在DNSPod站内部署了一个DNS解析站点,同时暴风影音软件在发生无法解析域名的时候会大量频繁的向运营商的DNS服务器发起查询,运营商DNS再向位于DNSPod内的暴风公司DNS服务器查询,未果。这样导致了大量的查询,客观上构成了对电信DNS服务器的DDoS攻击。

  由于暴风影音使用用户非常多,其攻击能力高出僵尸网络几个数量级,导致多个省市电信DNS主服务器过载。

  FortiGate IPS对策

  DNS服务器作为互联网的一个核心部分容易遭受到攻击,要彻底解决这个问题,只有不断的完善Internet安全架构本身,比如检测和清除僵尸网络、保障每一台接入到Internet的PC的安全性、建立快速DoS溯源机制等。然而安全的Internet架构不是一朝一夕能够建立起来的,因此对DNS的攻击防护就成为一项重要的安全措施。

  对于以上两部分的原因,FortiGate IPS分别有不同的对策。

  1、对于没有规律的大规模DDoS攻击,FortiGate IPS具有硬件级的防御能力。它采用专用加速芯片对DDoS攻击进行识别,可以判断出哪些是攻击包,那些是正常访问流量,从而将正常访问流量放过而阻挡住攻击数据包。这样DNS服务器不会因受到攻击而过载。

  FortiGate IPS有超过每秒10万pps的抗DDoS攻击能力。

 
  图一:FortiGate 抗DDoS配置

  2、对于有规律的大规模DDoS攻击,比如由暴风影音软件发起的对baofeng.com的大量DNS查询,FortiGate可以制定相应检测规则,暂时阻挡含有baofeng.com域名的查询,使得DNS服务器不会过载。

 
  图二:FortiGate IPS特征

  FortiGate IPS特点简介

  1、混合式、多类型的攻击防御

  Fortinet的全系列安全产品可以提供集成、完整的解决方案,它可以实现对混合攻击、入侵企图、病毒、木马、蠕虫、间谍软件、灰色软件、广告软件和拒绝式攻击等种类广泛的攻击和恶意行为。Fortinet采用基于网络的ASIC加速的硬件平台,以及一系列的高级的动态入侵检测引擎,可以以更低的总体拥有成本,实现针对多种攻击的更高级别的安全和业内领先的性能。这些安全引擎是由Foitinet屡或殊荣的FortiOSTM,可以单独部署,也可以集成在一起提供全面的安全解决方案。

  2、全球的IPS研发团队

  FortiGuard的IPS服务是由Fortinet全球的安全专家团队来维护,他们在识别一种新的攻击后两个小时内予以响应。Fortinet安全专家与很多像CERT和SANS这样的攻击检测组织合作来发现新的漏洞,编写特征值、异常检测引擎和阻断方法,在漏洞成为威胁前升级用户的FortiGate的IPS系统。FortiGuard的可扩展的分布式网络可以在几分钟内,推动地升级所有的FortiGate的IPS系统。

(0)

相关推荐

  • 防止服务器被攻击的妙招(推荐)

    教你一些简单的配置防止服务器被攻击! 1.添加新用户并分配root权限: 先用root权限登陆 adduser xxx(你设置的用户名) passwd xxx(省略输入密码) 放到wheel组中:gpasswd -a xxx wheel 切换到xxx用户:su xxx(此时并没有权限) 命令前面加上sudo,就有root权限操作 2.禁止linux的root登陆: sudo vim /etc/ssh/sshd_config PermitRootLogin yes改成PermitRootLogin

  • Windows服务器应对高并发和DDOS攻击的配置方法

    windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况. 通过以下配置可以改善windows服务器性能: 一.应对高并发请求: 1.TCP连接延迟等待时间 TcpTimedWaitDelay: 这是设定TCP/IP 可释放已关闭连接并重用其资源前,必须经过的时间.关闭和释放之间的此时间间隔通称 TIME_WAIT状态或两倍最大段生命周期(2MSL)状态.在此时间内,重新打开到客户机和服务器的连接的成本少于建立新连接.减少此条目的值允许 TC

  • 服务器的ARP欺骗攻击的防范的两种解决方法

    服务器的ARP欺骗攻击的防范          这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击. 静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置. 首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令ar

  • 确保Linux服务器安全 防范四种级别攻击

    随着Linux企业应用的不断扩展. 有大量的网络服务器都在使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注. 这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 对Linux服务器攻击的定义是:攻击是一种旨在妨碍.损害.削弱.破坏Linux服务器安全的未授权

  • 服务器防黑客及木马攻击的安全设置小结

    安全策略: 打开管理工具 找到本地安全设置.本地策略.安全选项 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的] 2.网络访问.不允许SAM帐户的匿名枚举 启用 3.网络访问.可匿名的共享 将后面的值删除 4.网络访问.可匿名的命名管道 将后面的值删除 5.网络访问.可远程访问的注册表路径 将后面的值删除 6.网络访问.可远程访问的注册表的子路径 将后面的值删除 7.网络访问.限制匿名访问命名管道和共享 8.帐户.重命名

  • 配置Nginx服务器防止Flood攻击的方法

    配置Nginx服务器防止Flood攻击的方法

     测试 我会简单的告诉你如何配置Nginx的限制请求模块并且它是如何保护你的网站,防止你被攻击与DDOS或是其他基于HTTP的拒绝服务攻击. 这个测试中,我将样本页在保存在Blitz.io(现在是免费服务)命名为about.html,用于测试limit_req指令. 首先,我在Blitz上使用下面的指令,用来发起1075个并发请求并且持续一分钟,响应超时设置为2分钟,区域为加州,同时设置了除掉状态200以外的其他状态全部为异常状态,甚至是503都被认为是没有成功. -p 1-1075:60 --

  • 从断网事件分析DNS服务器拒绝服务攻击

    从断网事件分析DNS服务器拒绝服务攻击

    事件原因和分析 此次事件是一次联动事件,主要分为两个部分: 1.DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意,导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击,导致DNS服务器过载以及线路堵塞. 2.暴风影音的大量频繁的向电信DNS主服务器发起解析.导致各地区电信主DNS服务器超负荷. 暴风影音作为广泛使用的软件,有成千上万的用户安装使用.然而其DNS解析机制存在缺陷.暴风公司仅仅在DNSPod站内部署了

  • 分析python服务器拒绝服务攻击代码

    复制代码 代码如下: # -*- coding: cp936 -*-from scapy.all import *from threading import Thread,activeCountfrom random import randint class Loop(Thread):    def __init__(self,remoteAddr):        Thread.__init__(self)        self.remoteAddr = remoteAddr def run

  • 局域网内架设DNS服务器要谨慎

    DNS(Domain Name Server)是一个巨大的分布式数据库,它通过域名服务器提供一个指定域的信息来实现域名的解析,域名服务器负责将域名转换为IP地址.将Internet中的所有域名信息都放在同一台计算机中是不可能的,因此DNS系统采用树形结构,将不同层次域的域名信息分别存储在不同的域名服务器中,最高层为根域服务器. 由于企业办公需要,笔者在局域网内部署了DNS服务器,所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址.并且还在DNS服务器中新建了一个名为"knowsky.c

  • win2003 使用DNS服务器实现负载均衡

    win2003 使用DNS服务器实现负载均衡

    解决方法有很多,如使用Windows2000或WindowsServer2003提供网络负载均衡服务,但该服务的设置非常复杂.而通过DNS服务器实现网络负载均衡则是一种比较简单的方法. 笔者以企业网中的Web服务器为例来介绍一下如何使用DNS服务器实现网络负载均衡.为了提高域名为"www.jb51.net"的网站的访问量,在企业网中部署三台内容相同的Web服务器,它们提供相同的服务,但每台服务器的IP地址都不一样.下面对企业网中的DNS服务器进行设置来实现三台Web服务器共同承担客户对

  • winmydns DNS服务器架设

    一.您必须有一个属于您自已的域名.比如:abc.com.没有域名的必须先注册一个域名. 二.在国际域名中心注册一个DNS域名,以使您的DNS服务器在全球有效. 1.在域名注册商(如新网,新网互联)的域名控制面板里一个"注册本域名下的DNS"的功能. 2.点击进去添加两个DNS,如ns1.abc.com及ns2.abc.com,IP地址填写您的安装winmydns的服务器IP地址. 3.在 http://www.internic.com/whois.html页面填入您的DNS域名,如ns

  • Jquery Ajax学习实例7 Ajax所有过程事件分析示例

    一.Ajax所有过程事件分析 JQuery在执行Ajax的过程中会触发很多事件.   这些事件可以分为两种事件,一种是局部事件(Local),一种是全局事件(Global).   局部事件:可以通过$.ajax来调用,你某一个Ajax请求不希望产生全局的事件,则可以设置global:false.   全局事件:跟click等事件类似,可以绑定到到每一个DOM元素上.   这些事件的按照事件的触发顺序如下介绍: 局部事件(Local) 全局事件(Global) ajaxStart 全局事件开始新的

  • 详解Linux搭建DNS服务器

    详解Linux搭建DNS服务器

    1.DNS服务器概念 在互联网上通信需要借助于IP地址,但人类对于数字的记忆能力远不如文字,那么将IP地址转换成容易记忆的文字是个好办法,可是计算机只能识别0.1代码,这时就需要一种机制来解决IP地址与主机名的转换问题,DNS全称为Domain Name System,即域名系统,其作用就是将我们经常使用的"网址"解析为IP地址 联机分布式数据库系统,DNS大多数名字在本地解析,仅少量需要在网上通讯,所以效率高 2.DNS相关概念 DNS利用树形目录结构,将主机名的管理分配给不同的层级

  • 在Windows 7 上安装DNS服务器bind9方法详解

    在Windows 7 上安装DNS服务器bind9方法详解

    本文主要介绍在WIN7上利用ntbind部署DNS服务器的方法.ntbind是Bind的Windows版本, 1.下载BIND9.11 下载地址:http://ftp.isc.org/isc/bind9/9.11.0rc3/. 我的系统是window 7 64位需要下载BIND9.11.0rc3.x64.zip,建议下载9.11以上的版本,老版本可能不支持Win7,下载时注意区分操作系统的位数. 2.安装BIND9.11 下载完成后,解压文件,点击BINDInstall.exe直接傻瓜式的安装

  • 使用 bind 设置 DNS 服务器的方法

    DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器. 域名系统Domain Name System,我们更通常称为 DNS 的系统,可以将域名翻译或转换为与该域关联的 IP 地址.DNS 是能够让你通过名称找到自己喜欢的网站而不是在浏览器中输入 IP 地址的原因.本指南将向你展示如何配置一个主 DNS 系统以及客户端. 以下是本文示例中使用的系统细节: dns01.fedora.local (

  • Windows DNS服务器曝"蠕虫级"漏洞,已存在长达17年

    漏洞介绍 SigRed漏洞的高危害性在于其是可蠕虫的,也就是可以自传播的,无需用户交互就能传播到易受攻击的设备上,允许未经身份验证的远程攻击者获得针对目标服务器的域管理员特权,并完全控制组织的IT基础架构. 漏洞运行机制 攻击者可以通过将恶意DNS查询发送到Windows DNS服务器并实现任意代码执行来利用SigRed漏洞,从而使黑客能够拦截和操纵用户的电子邮件和网络流量,使服务不可用,收获用户的电子邮件. 当DNS服务器无法解析给定域名(例如www.google.com)的IP地址时,查询会

随机推荐