流量恶意DNS流量攻击研究

第24卷第9期 计算机应用与软件 Vol124No. 9

2007年9月 ComputerApplications and Software Sep. 2007

恶意DNS流量攻击研究

李军利1 卜晓燕2 张根耀1 张 震1

1 (延安大学数学与计算机科学学院 陕西延安716000)

2 (延安大学计算中心 陕西延安716000)

摘 要 DN S是重要的基础设施,用于域名服务,在负载均衡、移动IP等方面也有着重要的应用。分析了针对DN S的几种攻击行为类别,讨论了DN S流量激增对互联网的正常运作的影响,并提出了恶意DN S流量攻击、蜂窝效应概念,给出了几种导致DN S流量激增的措施,给出了能导致互联网DN S流量激增VC#的实例代码,最后讨论了针对DNS流量攻击的应对措施。

关键词 DNS DDOS C/S DNS流量 DNS流量攻击 蜂窝效应网络拥塞

A RESEARCH O F THE V IC IOUS ATTACKS O N THE D NS FL UX

L iJunli1 Bu Xiaoyan2 Zhang Genyao1 Zhang Zhen1

Abstract DNS is the fundam ental device used in dom ain name services It has wide and impo rtant app lication in loading balance and mo2bile IP This article analyzes the types of attacks contra2posing DNS, discusses the effects of the sharp increase of the flux on the normal opera2tion of internet, thus p roposing the concep t of DNS Flux A ttack and beehive effect and putting fo rward measures inducing the sharp increase ofDNS flux This article also gives the samp le codes of the VC#which may induce the sharp increase of DNS flux and sheds lights on the coun2termeasures for the DNS flux attacks

Keywords DNS DDOS C/S DNS flux DNSflux attack Beehive effect Internet congestion

0 引 言

DNS(Domain name system,域名系统)是多层次的分布式数据 全的重要性。普遍认为,针对DNS的攻击主要有以下几种:库系统,基本功能是负责提供域名和IP地址之间的映射,DNS ( 1)域名劫持通常是指通过采用黑客手段,获得域名可

每个域由不同的组织管理,可包括由子节点构成的子域。 DN S ( 2)域名欺骗(缓存投毒)域名欺骗攻击现象就是利用是Internet的基本支撑服务,其安全性、有效性具有举足轻重的 DNS缓存,实施域名重指向功能,从而使所有使用该缓存服

DNS流量激增可能导致互联网变慢,甚至中断的问题关注不够。重新路由选择基于网络的应用程序(如HTTP,FTP,SMTP,DNS,本文讨论了DNS流量激增对互联网的影响,并讨论了几种可能 PO P3, IMAP,SSH等) ,这些程序都是以DNS名为基础,而不是导致DN S流量激增的攻击方式,并试图寻求解决办法。 IP地址;攻击者还可能会窃取各种与商务有关的用户名或密码;

重新路由选择商业邮件,破坏正常的商业活动,对用户造1 常见的针对DNS的攻击行为 成严重损失[3 ] 。

数

第9期 李军利等:恶意DNS流量攻击研究 201

(4)利用DNS作为 “攻击放大器” ,去攻击其它主机其 (5)单位时间内查询次数越多,引发DNS总流量越大。如原理为黑客用被攻击主机的IP地址作为源IP地址向多个DNS 果恶意利用以上特点,在一段时间内,大量发送DNS请服务器发送大量DNS查询请求,DN S服务器将会把大量的查 求,就会导致“蜂窝效应” ,导致互联网上的DN S流量的激增,可询结果发送给被攻击主机,从而导致被攻击主机所在的网络拥 能产生大量的无用的DNS流量,增加DNS服务器的负担,严塞而影响其对外提供服务。 重时可能导致互联网传输变慢,甚至中断 。我们暂且称之为

“DN S流量攻击” 。

2 为什么要讨论D NS流量问题 DNS流量攻击可以有几种形式,例如:

流量攻击就会产生大量的DNS流量。 4.1 PING命令简介

(5)恶意的DNS流量攻击,可以产生“ DNS流量”放大“效应, P ING命令,通过发送ICMP报文来实现目标主机是否可我们暂且把这种放大效应形象地称为 蜂窝效应 。 蜂窝效 达的测试工作,其用法如下:

3 DNS流量攻击及其原理 后缀域名,则可对特定的域事实DNS流量攻击) 。这段代码使

如我们所知时意的更容易放大其在整个互联网范围的流量; System D iagnostics Processp;

(4)DN S对任何请求的处理都需要消耗时间和资源,而恶 p=new System D iagnostics Process( ) ;

意的请求会消耗更多的资源,不仅会消耗宿主主机资源,而且会 p StartInfo FileName= ″cmd exe″;

严重消耗互联网的带宽; p StartInfo U seShellExecute=false;p StartInfo RedirectStandard Input=true;

202 计算机应用与软件 2007年

p StartInfo RedirectStandardOutput= true; 流量的规则,例如单位时间内,如果某个主机连续发送DN Sp StartInfo RedirectStandardError= true; 请求数据包超过门限制,则进行记录,并通过设置相应的规p StartInfo CreateNoW indow=true; 则阻断、或者临时阻断该主机的所有连接或者丢弃来自于该p Start( ) ;Random tmp=new Random() ; 主机的DN S请求、ICM P数据流。从而帮助我们找到这种攻

结 语

攻击程序时,整个网络的速度明显变慢,使用网络测量仪器 本文总结了针对DN S的攻击行为的种类,提出基于DN S可以发现,运行此代码后,DN S流量的所占总流量的比例明显 的 “蜂窝效应” 、 “DNS流量攻击”等概念,并给出了一段流量攻增大。 击的实验代码,希望能引起大家的重视,积极加以讨论。

DN S请求数据包,那么对网络的威胁可能是致命的。另外,如 [ 1 ] http: / /www duba net/news/ trade/2006/08/08/89947 shtml果把以上代码的功能使通过构造ICMP报文、构造虚假的源地 [ 2 ] http: //www xmws cn/newslist asp?ArticleID=192

5 其他可引发DNS流量的行为 [ 6 ]]计算机应页)查询。如果迅速、不断地重复要求浏览器,访问某个主机上的虚 4 总 结

发送给CNET News com的一份声明中,反驳说, “Vista可能会造成 [ 1 ]Shap iro J M Embedded image coding using zerotrees o f wavelet trans2DNS流量的增长,但增长的幅度不会达到鲍罗预计的水平” 、 “其他 form[J] IEEE Trans on Signal Processing, 1993, 41 ( 12) : 3445专家也支持微软,认为鲍罗的预测与他目前在DN S产品厂商Nom - 3463i2

6 如何防范DNS流量攻击行为