多家高校DNS服務(wù)器遭受攻擊?安恒信息應(yīng)對方法來了
近日,安恒信息MSS安全托管運(yùn)營團(tuán)隊監(jiān)測到國內(nèi)多家高校DNS服務(wù)器遭受攻擊。安恒信息MSS團(tuán)隊第一時間對攻擊情況進(jìn)行了通告,針對多個受害用戶開展應(yīng)急響應(yīng)工作,并協(xié)助用戶恢復(fù)網(wǎng)絡(luò)。
安恒信息MSS安全托管運(yùn)營團(tuán)隊通過對事件進(jìn)行深度排查及溯源分析,還原出本次DNS攻擊核心過程:
1.攻擊者通過技術(shù)手段獲取目標(biāo)暴露在公網(wǎng)的DNS服務(wù)器IP地址;
2.攻擊者對DNS服務(wù)器目標(biāo)發(fā)送了大量偽造的DNS請求數(shù)據(jù)包,進(jìn)行DDoS反射攻擊(DNS攻擊數(shù)據(jù)包的特征:源IP偽造與DNS服務(wù)器同網(wǎng)段的IP地址,請求的域名為cqxqjx.com等隨機(jī)域名)
3.目標(biāo)DNS服務(wù)器在收到請求后,在本地緩存中未發(fā)現(xiàn)相關(guān)記錄,隨即發(fā)起遞歸查詢,在等待結(jié)果中消耗了大量的網(wǎng)絡(luò)資源。同時,由于數(shù)據(jù)包中源IP大多為偽造的同網(wǎng)段IP,服務(wù)器會發(fā)起ARP請求查詢對應(yīng)IP的MAC地址,若同網(wǎng)段中無真實IP響應(yīng)請求,會造成物理地址獲取超時,加劇網(wǎng)絡(luò)資源消耗。
針對此類攻擊,用戶可以使用以下防御措施進(jìn)行應(yīng)對:
DNS服務(wù)器
1.禁止相關(guān)域名的解析。通過對目前的攻擊流量進(jìn)行統(tǒng)計,攻擊者請求的域名主要為:
b.cqxqjx.com?
c.lzn376.com?
d.fow757.com?
e.wym317.com
2.(臨時)對DNS服務(wù)器同網(wǎng)段IP或域名進(jìn)行限速或丟包。
防火墻
(以下以安恒信息明御防火墻DAS-?TGFW為例)
1.配置訪問控制策略:默認(rèn)拒絕所有對DNS的訪問,特殊訪問需求配置獨立訪問策略(適用于DNS服務(wù)器無需向外暴露)




2.配置訪問控制策略:禁止來源于外網(wǎng),源IP為DNS服務(wù)器同網(wǎng)段IP的DNS請求(適用于DNS服務(wù)器需要對外開啟)。



路由器
1.在核心網(wǎng)絡(luò)設(shè)備上啟用uRPF安全校驗機(jī)制,但要注意網(wǎng)絡(luò)拓?fù)洹^濾模式和反向路由表的配置,以確保能夠進(jìn)行正確的驗證和防護(hù),避免合法數(shù)據(jù)包的誤攔截。
流量監(jiān)測
通過流量檢測設(shè)備對模型、閾值做定制化調(diào)整,精準(zhǔn)捕獲攻擊者所請求的高頻域名,實現(xiàn)此類攻擊的有效檢測。
(以下以安恒明御APT攻擊預(yù)警平臺為例,AiNTA流量審計分析系統(tǒng)配置流程相似)



安全托管運(yùn)營服務(wù)MSS
針對正在使用安全托管運(yùn)營服務(wù)MSS的用戶,MSS安全運(yùn)營團(tuán)隊將根據(jù)單位流量情況與設(shè)備負(fù)載狀況為您定制化調(diào)優(yōu)DDoS攻擊檢測模型,并持續(xù)進(jìn)行7*24威脅監(jiān)測分析,MSS將在監(jiān)測到真實攻擊后第一時間通知給安全負(fù)責(zé)人,并協(xié)助完成事件處理。
同時,MSS安全托管運(yùn)營團(tuán)隊也支持通過AiLPHA?SOAR安全編排與協(xié)同響應(yīng)管理平臺,實現(xiàn)多廠商防火墻設(shè)備聯(lián)動,針對類似的DDoS攻擊進(jìn)行聯(lián)動阻斷,或獲通過Ailpha內(nèi)置的安全編排自動化與響應(yīng)組件,實現(xiàn)自動化響應(yīng):

若您對此類攻擊現(xiàn)象或設(shè)備配置方法有任何疑問,歡迎您隨時聯(lián)系當(dāng)?shù)匕埠阈畔⒓夹g(shù)人員。若您需要MSS服務(wù)保障業(yè)務(wù)安全,可隨時聯(lián)系當(dāng)?shù)匕埠阈畔N售經(jīng)理獲得支持。