Akamai是一家大型互联网CDN服务提供商,然而根据其最新的DDoS趋势报告,发现利用DNSSEC协议的这类攻击已经更加猖獗。DNSSEC是“域名系统安全扩展”的简称,作为DNS协议的扩展,其包括了诸多保护DNS认证和数据完整度的安全特性(因此叫它DNS+security也行),然而“反射DDoS”也在滥用DNSSEC协议。
业内也将反射DDoS称作R-DDoS、DRDoS或“分布式反射拒绝服务攻击”。去年8月份的时候,我们曾深入解析过诸多借助BitTorrent相关协议的“杠杆传播”,但其背后的原理其实很简单。
一名攻击者将一个“损坏的网络包”发送到服务器,然而之后它会被发送回另一个用户(即攻击的受害者)。该网络包会滥用一个特定的协议,借助于各种缺陷,其可放大自身的数量,有时×2、有时×10(甚至还有将攻击增强200倍的)。
根据Akamai的报告,自2015年11月起,该公司已经遭遇并缓解了超过400起DDoS反射攻击。攻击者主要使用了.gov的域名,这归咎于美国法规必须支持DNSSEC。
尽管DNSSEC可以防止域名被劫持,但它却无法阻挡反射DDoS攻击,而攻击者们显然都看到了这个薄弱点,更别提它是标准DNSSEC响应的很大一块了(除了域名和许多认证类相关数据之外)。
Akamai SIRT(安全情报响应小组)表示:攻击者没有做什么特殊的事情,他们用的还是同样的DDoS工具包,因为DNS解析器仍然开放着。问题的关键是他们请求了DNSSEC的域名(通常为a.gov之类,修改为DNS请求的受害者IP,而不是他们自己的)。
开放的DNS解析器会将它翻译成一个IP,通过额外的DNSSEC请求数据来阻塞响应,然后将它发送回受害者IP。
标准DNS响应大小为512字节(bytes),而附带各种配置的DNSSEC甚至能够达到4096字节。这意味着DNSSEC反射DDoS攻击的放大系数,有时甚至能达到8×。
鉴于线上有3200万开放DNS解析器(其中有2800万被认为是受漏洞影响的),攻击者很容易就找到利用它们的方法。
Akamai的报告称,DNSSEC反射DDoS攻击的有记录峰值数据为123.5Gbps,其中超半数都是针对游戏行业的(其次是金融领域)。
