(1)域名限速
如果某个域名的DNS请求或回应报文速率过高,我们可以针对这个域名进行限速。
通常某个域名遭受的访问量一直高,但突然有一天某访问量增长到平时的很多倍,此时我们可判断这个域名可能遭受了攻击。域名限速就是指在资源有限的情况下,每天只有一定数量的资源被提供,先到先得。
域名限速可以有针对性地限制某个特定域名,而不影响其他域名的正常请求。
(2)源IP地址限速
源IP地址限速和域名限速相比属于另一个维度的限制。如果某个源IP地址域名解析的速率过大,源IP地址限速就可以有针对性地限速这个源IP地址的DNS请求报文或者DNS回应报文,这样也不会对其他源造成影响。
现在,这种利用网络基础架构发动的攻击越来越多,比如2.1节介绍的“龙卷风”、2.4节介绍的DNS反射攻击,还有后续我们将要介绍的DNS缓存投毒攻击、HTTP攻击等。作为互联网的基础设施,DNS服务器和其他各种服务器的安全稳定运行是至关重要的,也是网络工程师在部署网络设备时需要重点考虑的问题。
2.5 DNS缓存投毒攻击与防御
2.5.1 事件回顾
根据Google的DNS服务商OpenDNS所述,曾有一名黑客通过将Google的域名服务器(ns1.google.com、ns2.google.com)修改成 CloudFlare 的 IP(173.245.59.108, 173.245.58.166)来重定向访客。网民在访问Google主页的时候,看到的不是Google的搜索页面,而是一张自拍照。
这些事件其实是黑客篡改了域名和IP地址的映射关系,将用户访问的域名指向了其他 IP 地址所导致的。DNS 篡改可能发生在各个环节,比如在客户端侧、在授权服务器端,或者在缓存服务器端。下面我们就来看看比较常见的几种篡改方式。
2.5.2 路由器DNS劫持
黑客利用路由器的漏洞入侵受害者的路由器,篡改路由器中DNS服务器的地址,将该 DNS服务器地址指向恶意的 DNS服务器地址。这种篡改对于用户来说是最可怕的,一旦发生了这种情况,那么这个用户访问的每一个域名,都可能会被解析成其他恶意地址。
TP-Link路由器的劫持事件,就是黑客构造了一个恶意Web页面(页面的功能是自动登录路由器并修改DNS地址),然后,再构造一个URL发送给受害者,当受害者点击这个链接的时候就访问了恶意页面。攻击要想成功的前提是黑客必须知道 TP-link 路由器的登录账号和密码。然而实际上,大多数人都会使用 TP-link 路由器厂商预置的默认密码,这就给了黑客实施攻击的机会,导致路由器的DNS服务器的IP地址很容易被篡改为恶意的IP地址。
这种劫持方式不容易被发现,受害者只要输入真实域名或者合法网站地址,黑客就可将其重定向到一个恶意网站上。一旦这种情况发生,对于受害者来说后果是非常可怕的。受害者访问的每一个域名可能都是假的。他看到的淘宝页面可能不再是淘宝页面,登录的网银可能也不再是网银,用户的各种敏感信息都会受到严重威胁
