DNS 放大攻擊

  DNS 稱為域名系統(Domain Name System)，其作用為可以將域名和 IP 地址相互映射的一個分布式數據庫，能夠使人更方便的訪問互聯網，DNS 使用的 TCP 與 UDP 端口號都是 53，主要使用 UDP 協議。通常，DNS 響應數據包會比查詢數據包大，攻擊者利用普通的 DNS 查詢請求就能夠將攻擊流量放大 2 到 10 倍。但更有效的方法是使用 RFC 2671 中定義的 DNS 擴展機制 EDNS0。在 EDNS0 中，擴展了 DNS 數據包的結構，增加了 OPT RR 字段。在 OPT RR 字段中，包含了客戶端能夠處理的最大 UDP 報文大小的信息。服務端在響應 DNS 請求時，解析并記錄下客戶端能夠處理的最大 UDP 報文的大小，并根據該大小生成響應的報文。

  攻擊者發送的 DNS 查詢請求數據包大小一般為 60 字節左右，而查詢返回結果的數據包大小通常為 3000 字節以上，因此，使用該方式進行放大攻擊能夠達到 50 倍以上的放大效果。極端情況下，36 字節的查詢請求能夠產生 3k～4k 字節的應答，也就是說，能夠對攻擊流量進行一百倍放大

  SNMP 放大攻擊

  SNMP 是簡單網絡管理協議(Simple Network Management Protocol)的縮寫，該協議是目前 UDP/IP 網絡中應用最為廣泛的網絡管理協議，如今，各種網絡設備上都可以看到默認啟用的 SNMP 服務，從交換機到路由器，從防火墻到網絡打印機，無一例外。

  在 SNMPv1 中定義的 Get 請求可以嘗試一次獲取多個 MIB 對象，但響應消息的大小受到設備處理能力的限制。如果設備不能返回全部請求的響應，則會返回一條錯誤信息。在SNMPv2 中，添加了 GetBulk 請求，該請求會通知設備返回盡可能多的數據，這使得管理程序能夠通過發送一次請求就獲得大段的檢索信息。利用默認通信字符串和 GetBulk 請求，攻擊者能夠開展有效的 SNMP 放大攻擊。

  攻擊者向廣泛存在并開啟了 SNMP 服務的網絡設備發送 GetBulk 請求，使用默認通信字符串作為認證憑據，并將源 IP 地址偽造成被攻擊目標的 IP 地址。設備收到 GetBulk 請求后，會將響應結果發送給被攻擊目標。當大量的響應結果涌向目標時，就會導致目標網絡擁堵和緩慢，造成拒絕服務攻擊。攻擊者發送的 GetBulk 請求數據包約為 60 字節左右，而請求的響應數據能夠達到 1500字節以上，因此，使用該方式進行放大攻擊能夠達到 20 倍以上的放大效果。

  其他形式的放大攻擊

  在 NTP 協議中，monlist 請求可以獲取與目標 NTP 服務器進行過同步的最后 600 個客戶端的 IP 地址。發送一個很小的請求包，就能獲取到大量的活動 IP 地址組成的連續 UDP 包。通過偽造 IP 地址并發送 monlist 請求，可以將攻擊流量放大 500 倍以上。

  服務器租用、托管，只有您想不到的，沒有我們做不到的，只要您選擇了我們三三在線http://www.33ol.com/，我們就會竭誠為您服務!!!。企點Q：2852361322電話：13924367540