1案例概述**DNS放**大攻击是一种拒绝服务攻击，攻击者利用僵尸网络中大量的被控主机伪装成被攻击主机，在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求，迫使其提供应答服务，经DNS服务器放大后的大量应答数据发送到被攻击主机，形成攻击流量，导致其无法提供正常服务甚至瘫痪。知识点**DNS放大攻击的特性- 充分利用了DNS服务器的特性，作为黑客的“攻击放大器**”；

• 攻击流量大；
• 可依靠僵尸网络发布攻击，形成极大的攻击流量，本身具有隐藏性。

2分析过程XX.XX.29.4为上海某单位的DNS服务器，需要对外提供DNS服务。该客户部署科来网络回溯分析系统后，在可疑域名警报中触发了大量警报。

图 1

发现198.24.157.245（经查为美国IP）在短时间内向XX.XX.29.4服务器发送了大量的DNS请求，请求的域名为dnsamplicationattacks.cc。（DNS Amplification Attacks字面意思就是DNS放大攻击。）

图 2

198.24.157.245发出的请求包为101字节，DNS服务器返回的应答包为445字节，从而使通信流量放大了4.4倍。

图 3

攻击者利用大量被控主机向大量的DNS服务器发送DNS请求，但请求中的源IP地址被伪造成被攻击者的IP（在本例中为198.24.157.245），于是DNS服务器会向被攻击者返回查询结果，通常查询应答包会比查询请求包大数倍甚至数十倍（在本例中为4.4倍），从而形成对198.24.157.245地址的流量放大攻击。

在本例中客户的DNS服务器被作为实施这种DNS放大攻击的代理参与其中，攻击过程见下图。

图 4

3分析结论攻击者利用大量被控主机在短时间内向大量的DNS服务器（XX.XX.29.4）发送DNS请求，查询应答包会比查询请求包大4.4倍，造成大量流量发送到伪造的源IP地址（198.24.157.245），形成对该IP地址的拒绝服务攻击。
建议用户- 增大链路带宽；

• DNS服务器关闭递归查询；
• 牢记运行商的应急电话号码，一旦发生大规模DNS放大攻击攻击，可以马上与ISP联系，在上游对攻击进行过滤。

黑客常常利用DNS服务器的特性将其做为攻击放大器，可依靠僵尸网络发布攻击，往往形成极大的攻击流量，而其本身又具有隐藏性。然而，在本案例中我们看到通过网络分析技术把攻击行为完全梳理出来，达到网络攻击可视化的效果；并且通过协议解码可以清晰的分析出攻击者使用哪种类型的攻击手段进行的攻击。通过2到7层的深度分析、精确解码、宏观大维度的详细统计为客户的信息系统以及网络环境保驾护航。

(更多精彩案例，请点击“阅读全文”)**— END —**

关于科来科来公司成立于2003年，是专注于网络分析技术研究与产品开发的高新技术企业，在网络分析领域有着几十项专利技术和独立的完全知识产权。科来自主研发的网络分析产品广泛应用于海内外用户的网络安全分析、故障诊断及性能优化等关键领域。同时，科来专业的技术服务与认证培训也得到了社会各界的广泛认可。
科来是最早研究木马数据流行为特征的厂家之一，在木马研究领域取得了丰硕的成果，并承接了僵尸网络、云木马、移动终端、无线检测、私有协议等前瞻性科研项目。科来是中国网络分析领域的第一品牌，荣获中国软件协会、中国电子信息产业发展研究院联合颁发的《辉煌十年 网络分析领军企业奖》，科来网络分析系统被美国PC Magazine评选为《2012年度全球最佳科技产品》。