MDNS DDoS 反射放大攻击——攻击者假冒被攻击者IP向网络发送DNS请求,域名为“_services._dns-sd._udp.local”,这将引起本地网络中所有提供服务的主机都向被攻击者IP发送DNS响应,列举网络中所有服务
2024-10-01 15:19:56
MDNS Reflection DDoS
2015年3月,有报告叙述了mDNS 成为反射式和放大式 DDoS 攻击中所用媒介的可能性,并详述了 mDNS 反射式攻击的原理和相应防御方式。Q3,Akamai SIRT开始观测现网是否存在mDNS反射放大攻击。
攻击威胁
2015年9月,第一次在现网观测到mDNS反射放大攻击。
攻击中,抓到攻击者假冒被攻击者IP向网络发送DNS请求,域名为“_services._dns-sd._udp.local”,这将引起本地网络中所有提供服务的主机都向被攻击者IP发送DNS响应,列举网络中所有服务。一般来说请求报文payload只有46字节,而响应报文一般在100至200字节,当响应报文payload为200字节时达到4.35倍的放大效果。至今为止现网观察到的响应报文payload最大达到428字节。
防御现状
配置自定义过滤器后,可检测及防御mDNS反射放大攻击。但用户对该攻击不了解,一般不会在攻击前配置自定义过滤器,且有些用户即使抓包查看到该攻击报文也不了解该种攻击,导致现网不能及时检测和防御该类攻击。
防御改进
增加预定义过滤器,过滤UDP源端口为5353的报文。
因该协议主要用于没有常规DNS服务器的网络中来实现类似的DNS服务,DDoS防御的汇聚层或网关位置不会出现该协议,所以可通过过滤器把UDP源端口为5353的报文过滤掉。同时,在手册中要说明,如果用户防御对象中有无配置网络流量不能配置该过滤器。
最新文章
- Android TextView设置多彩文字
- Android中通过注解代替findViewById方法
- item上下自动循环滚动显示
- Selenium 遇到的问题
- CSRF(Cross-site request forgery)跨站请求伪造
- 逻辑运算符||和| 、&;&;和&;的区别
- 2729:[HNOI2012]排队 - BZOJ
- asp:UpdatePanel中js失效问题已解决
- Host 'hello-PC' is not allowed to connect to this MySQL server远程连接mysql授权
- 201521123119《Java程序设计》第6周学习总结
- procotol.go 源码阅读
- 终于明白了 C# 中 Task.Yield 的用途
- python学习笔记(二)、字符串操作
- 每天CSS学习之text-shadow
- PAT 乙级 1076 Wifi密码 (15)
- HTTP Basic Authentication认证(Web API)
- Revit Family API 添加参数与尺寸标注
- Eclipse国内镜像源配置方法
- MyEclipse 2017 CI 10 发布(附下载)
- windows配置meld