Bài này sẽ trình bày cơ bản về cơ chế hoạt động “DNS
Amplification Attacks”, cũng như cách thức thực hiện cuộc tấn công như
trên trong thực tế.
chú thích
DNS: Domain Name System (DNS) servers ( hệ thống phân giải tên miền)
Tài liệu tham khảo
Cơ bản về DNS Amplification Attacks
Cuộc tấn công DNS Amplification Attacks diễn ra thế nào?
Tấn công DNS Amplification Attacks là một dạng của tấn công ddos, trong đó kẻ tấn công sử dụng các máy chủ DNS trả lời query DNS từ bất kỳ ip nào để làm tràn băng thông của đối tượng cần tấn công.Mô tả chi tiết về cách thức hoạt động.
Để thực hiện một cuộc tấn công DNS Amplification Attacks kẻ tấn công sử các máy chủ DNS mở ( trả lời truy vấn dns từ bất kỳ ip nào) để làm tràn băng thông của mục tiêu tấn công. Để làm được việc này kẻ tấn công sẽ gửi các truy vấn DNS đến các máy chủ DNS mở với địa chỉ ip nguồn của gói tin là địa chỉ ip của mục tiêu cần tấn công. Khi các máy chủ DNS mở gửi thông tin DNS trả lời, toàn bộ sẽ được gửi đến mục tiêu cần tấn công. Để tăng hiệu quả của cuộc tấn công kẻ tấn công thường gửi truy vấn mà kết quả trả về càng nhiều thông tin càng tốt. Các cuộc tấn công DNS Amplification Attacks được ghi nhận thì DNS request giả địa chỉ ip gửi bởi kẻ tấn công thường là kiểu “ANY” ( thông tin trả về sẽ là tất cả thông tin về domain trong truy vấn). Trường hợp này kích thước của gói tin trả về thường lớn hơn rất nhiều so với kích thước của DNS request. Do đó với băng thông vừa phải kẻ tấn công có thể tạo ra một băng thông rất lớn đánh vào mục tiêu. Thêm vào đó gói tin trả về đến từ các địa chỉ hợp lệ do đó việc ngăn chặn cuộc tấn công kiểu này rất khó khăn.Thực hiện cuộc tấn công.
Để dò tìm các địa chủ máy chủ DNS mở ta có thể dùng nmapDò tìm các máy chủ DNS mở.
trong đónmap -sU -p 53 -sV -P0 --script "dns-recursion" 1.1.1.1/24
1.1.1.1/24 là dải ips ta muốn scan.Thực hiện cuộc tấn công.
Để tạo được DNS request với địa chỉ ip là địa chỉ ip mục tiêu ta cần một server hoặc vps có hỗ trợ việc giả ip. Việc tạo DNS request có thể thực hiện đơn giản bằng scapyBạn cần lập trình một chút để tạo DNS request từ một list các máy chủ DNS, và tạo DNS request kiểu “ANY” nữa :D.sr1(IP(src="victim ip), dst="192.168.5.1")/UDP()/DNS(rd=1,qd=DNSQR(qname="www.slashdot.org")))
Tăng cường khả năng tấn công.
Bạn cần có một domain sau đó vào tạo nhiều nhất record có thể. record TXT có độ dài lớn, cả CNAME cả A … để tăng băng thông tấn công nên mức cao nhất.Kết luận.
Qua những gì đã trình bày ta thấy cuộc tấn công DNS Amplification Attacks rất khó để có thể ngăn chặn, do đó cần có một chiến lược được hoạch định kỹ để phòng chống loại tấn công này.chú thích
DNS: Domain Name System (DNS) servers ( hệ thống phân giải tên miền)
Tài liệu tham khảo
Không có nhận xét nào:
Đăng nhận xét