首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

多家高校DNS服務(wù)器遭受攻擊？安恒信息應(yīng)對方法來了

閱讀量：次 文章來源：安恒信息

近日，安恒信息MSS安全托管運(yùn)營團(tuán)隊監(jiān)測到國內(nèi)多家高校DNS服務(wù)器遭受攻擊。安恒信息MSS團(tuán)隊第一時間對攻擊情況進(jìn)行了通告，針對多個受害用戶開展應(yīng)急響應(yīng)工作，并協(xié)助用戶恢復(fù)網(wǎng)絡(luò)。

安恒信息MSS安全托管運(yùn)營團(tuán)隊通過對事件進(jìn)行深度排查及溯源分析，還原出本次DNS攻擊核心過程：

1.攻擊者通過技術(shù)手段獲取目標(biāo)暴露在公網(wǎng)的DNS服務(wù)器IP地址；

2.攻擊者對DNS服務(wù)器目標(biāo)發(fā)送了大量偽造的DNS請求數(shù)據(jù)包，進(jìn)行DDoS反射攻擊（DNS攻擊數(shù)據(jù)包的特征：源IP偽造與DNS服務(wù)器同網(wǎng)段的IP地址，請求的域名為cqxqjx.com等隨機(jī)域名）

3.目標(biāo)DNS服務(wù)器在收到請求后，在本地緩存中未發(fā)現(xiàn)相關(guān)記錄，隨即發(fā)起遞歸查詢，在等待結(jié)果中消耗了大量的網(wǎng)絡(luò)資源。同時，由于數(shù)據(jù)包中源IP大多為偽造的同網(wǎng)段IP，服務(wù)器會發(fā)起ARP請求查詢對應(yīng)IP的MAC地址，若同網(wǎng)段中無真實IP響應(yīng)請求，會造成物理地址獲取超時，加劇網(wǎng)絡(luò)資源消耗。

針對此類攻擊，用戶可以使用以下防御措施進(jìn)行應(yīng)對：

DNS服務(wù)器

1.禁止相關(guān)域名的解析。通過對目前的攻擊流量進(jìn)行統(tǒng)計，攻擊者請求的域名主要為:

b.cqxqjx.com?

c.lzn376.com?

d.fow757.com?

e.wym317.com

2.（臨時）對DNS服務(wù)器同網(wǎng)段IP或域名進(jìn)行限速或丟包。

防火墻

（以下以安恒信息明御防火墻DAS-?TGFW為例）

1.配置訪問控制策略：默認(rèn)拒絕所有對DNS的訪問，特殊訪問需求配置獨立訪問策略（適用于DNS服務(wù)器無需向外暴露）

2.配置訪問控制策略：禁止來源于外網(wǎng)，源IP為DNS服務(wù)器同網(wǎng)段IP的DNS請求（適用于DNS服務(wù)器需要對外開啟）。

路由器

1.在核心網(wǎng)絡(luò)設(shè)備上啟用uRPF安全校驗機(jī)制，但要注意網(wǎng)絡(luò)拓?fù)洹^濾模式和反向路由表的配置，以確保能夠進(jìn)行正確的驗證和防護(hù)，避免合法數(shù)據(jù)包的誤攔截。

流量監(jiān)測

通過流量檢測設(shè)備對模型、閾值做定制化調(diào)整，精準(zhǔn)捕獲攻擊者所請求的高頻域名，實現(xiàn)此類攻擊的有效檢測。

（以下以安恒明御APT攻擊預(yù)警平臺為例，AiNTA流量審計分析系統(tǒng)配置流程相似）

安全托管運(yùn)營服務(wù)MSS

針對正在使用安全托管運(yùn)營服務(wù)MSS的用戶，MSS安全運(yùn)營團(tuán)隊將根據(jù)單位流量情況與設(shè)備負(fù)載狀況為您定制化調(diào)優(yōu)DDoS攻擊檢測模型，并持續(xù)進(jìn)行7*24威脅監(jiān)測分析，MSS將在監(jiān)測到真實攻擊后第一時間通知給安全負(fù)責(zé)人，并協(xié)助完成事件處理。

同時，MSS安全托管運(yùn)營團(tuán)隊也支持通過AiLPHA?SOAR安全編排與協(xié)同響應(yīng)管理平臺，實現(xiàn)多廠商防火墻設(shè)備聯(lián)動，針對類似的DDoS攻擊進(jìn)行聯(lián)動阻斷，或獲通過Ailpha內(nèi)置的安全編排自動化與響應(yīng)組件，實現(xiàn)自動化響應(yīng)：

若您對此類攻擊現(xiàn)象或設(shè)備配置方法有任何疑問，歡迎您隨時聯(lián)系當(dāng)?shù)匕埠阈畔⒓夹g(shù)人員。若您需要MSS服務(wù)保障業(yè)務(wù)安全，可隨時聯(lián)系當(dāng)?shù)匕埠阈畔N售經(jīng)理獲得支持。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>