MDNS Reflection DDoS

2015年3月，有报告叙述了mDNS 成为反射式和放大式 DDoS 攻击中所用媒介的可能性，并详述了 mDNS 反射式攻击的原理和相应防御方式。Q3，Akamai SIRT开始观测现网是否存在mDNS反射放大攻击。

攻击威胁

2015年9月，第一次在现网观测到mDNS反射放大攻击。

攻击中，抓到攻击者假冒被攻击者IP向网络发送DNS请求，域名为“_services._dns-sd._udp.local”，这将引起本地网络中所有提供服务的主机都向被攻击者IP发送DNS响应，列举网络中所有服务。一般来说请求报文payload只有46字节，而响应报文一般在100至200字节，当响应报文payload为200字节时达到4.35倍的放大效果。至今为止现网观察到的响应报文payload最大达到428字节。

防御现状

配置自定义过滤器后，可检测及防御mDNS反射放大攻击。但用户对该攻击不了解，一般不会在攻击前配置自定义过滤器，且有些用户即使抓包查看到该攻击报文也不了解该种攻击，导致现网不能及时检测和防御该类攻击。

防御改进

增加预定义过滤器，过滤UDP源端口为5353的报文。

因该协议主要用于没有常规DNS服务器的网络中来实现类似的DNS服务，DDoS防御的汇聚层或网关位置不会出现该协议，所以可通过过滤器把UDP源端口为5353的报文过滤掉。同时，在手册中要说明，如果用户防御对象中有无配置网络流量不能配置该过滤器。

最新文章

1. Android TextView设置多彩文字
2. Android中通过注解代替findViewById方法
3. item上下自动循环滚动显示
4. Selenium 遇到的问题
5. CSRF（Cross-site request forgery)跨站请求伪造
6. 逻辑运算符||和| 、&&和&的区别
7. 2729:[HNOI2012]排队 - BZOJ
8. asp:UpdatePanel中js失效问题已解决
9. Host 'hello-PC' is not allowed to connect to this MySQL server远程连接mysql授权
10. 201521123119《Java程序设计》第6周学习总结
11. procotol.go 源码阅读
12. 终于明白了 C# 中 Task.Yield 的用途
13. python学习笔记(二)、字符串操作
14. 每天CSS学习之text-shadow
15. PAT 乙级 1076 Wifi密码 (15)
16. HTTP Basic Authentication认证（Web API）
17. Revit Family API 添加参数与尺寸标注
18. Eclipse国内镜像源配置方法
19. MyEclipse 2017 CI 10 发布（附下载）
20. windows配置meld

热门文章

1. WAP 图片 lazyload
2. Web前端国际化之jQuery.i18n.properties
3. hdu-3401-Trade-单调队列优化的DP
4. Ruby学习笔记（一）
5. node21---mongoose
6. sicily 1091 Maximum Sum (动规)
7. (转)script标签到底该放在哪里
8. svn创建分支的做法
9. pgpool-II在故障切换过程中是如何选举新主节点的
10. 3ds Max绘制一个漂亮的青花瓷碗3D模型