了解有关DNS服务器攻击有哪些?如何预防?
利用DNS服务器进行DDOS攻击
正常的DNS服务器递归查询过程可能被利用成DDOS攻击。假设攻击者已知被攻击机器的IP地址,然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后,DNS服务器响应给最初用户,而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡,反复的进行如上操作,那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。
攻击者拥有着足够多的肉鸡群,那么就可以使被攻击者的网络被拖垮至发生中断。利用DNS服务器攻击的重要挑战是,攻击者由于没有直接与被攻击主机进行通讯,隐匿了自己行踪,让受害者难以追查原始的攻击来。
DNS缓存感染
攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上,或者通过伪造的邮件和其他的server服务获取用户口令信息,导致客户遭遇进一步的侵害。
DNS信息劫持
TCP/IP体系通过序列号等多种方式避免仿冒数据的插入,但入侵者如果通过监听客户端和DNS服务器的对话,就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号,DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户,从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获,然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问,这样他就被欺骗到了别处而无妨连接想要访问的那个域名。
DNS重定向
攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。
ARP欺骗
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP病毒,则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
ARP欺骗通常是在用户局网中,造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后,则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器,以使访问导向错误指向的情况。
本机劫持
本机的计算机系统被木马或流氓软件感染后,也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。
如何清除僵尸网络威胁?
对僵尸网络进行治理,切断DDoS攻击的源头,从理论上说这是对抗DDoS攻击最为有效的方法。然而,在实际操作过程中,治理僵尸网络需要面对诸多的困难和问题。
进行僵尸网络治理的首要困难在于我们只有能够检测到网络异常,才能够知道系统感染了僵尸程序。如果僵尸主机用于发动DDoS攻击,单位时间内产生大量的攻击流量,那么安装于网络出口的检测设备或许能提示异常,从部分主机的内存占用上也可能看书端倪。但如果这些通信流量很小,并做了加密,那么这些通信则极有可能被淹没于正常的请求中而不被发觉,而我们也就几乎不能察觉到受了感染。
检测到感染后,一般就能提取到样本,此刻遇到的另一个困难就是需要对样本进行逆向分析,找出需要的信息。依据样本的难易程度,这有可能要花费相当长的时间。不过走到这一步,治理就可以从两方面着手。
一是根据逆向分析的结果,编写僵尸程序清除工具,分发至企业局域网的其他感染主机进行清除处理,同时将C&C服务器域名或地址以及通信包特征加入规则予以拦截。迫于威胁响应的压力,这种做法通常是优先选择。这样做的不足在于,清除掉的肯能只是僵尸网络的冰山一角,整个僵尸网络仍然可以维持运营,我们的网络仍然面临被攻击的风险,如来自这个僵尸网络的DDoS攻击等。
二是接管或摧毁整个僵尸网络。这种做法往往非常困难,因为僵尸网络的分布通常不局限于一个地区、一个国家甚至一个洲,而常常分布于多个国家、多个洲,其相应的控制服务器也分布广泛。因此,这种跨区域的打击行动就需要政府间的协调合作,这往往只有有实力、影响大的跨国公司才能做到。
局域网被IP冲突攻击怎么办?
可以用360网站卫士这个工具啊,网站卫士”是360旗下,为中小企业网站,中小电商网站,政府科研机构网站,培训教育类网站,量身打造的安全防护平台,主要功能有,防DDOS攻击,Web应用防火墙等等
如何保护流量流失?
你好,我是胖哥,你的问题问的很好
现在的网络面临的一个安全性的挑战,网络上的流量也在成倍的增长,流量的成分也越来越复杂。经济利益的驱动和网络攻击技术门槛的降低使得异常流量也呈爆炸式的增长趋势。现在的攻击都有明确的目标,大部分集中于游戏网站以及大型企业,攻击这些地方会获取一定的赢利。
作为一名企业网络管理员,该如何入手防范来势凶猛异常流量攻击,才能保护好企业的信息安全呢? 发现异常流量问题根源 当网络利用率很高,带宽被大量占用,经常有流量暴涨导致网络拥堵——到底是谁在使用网络,在使用网络运行什么程序,导致拥堵的原因是什么,如何找到“凶手”?我们希望从现有网络中获取更为详细的网络管理报表,如:协议的流量分布等。
可以透视企业内部网络运作情况,对网络流量可以做到一目了然。 只要网络无法为真正的用户提供正常的服务,将它视为异常流量。常见异常流量为网络层DDoS攻击、应用层DDoS、二层攻击、蠕虫传播等。
异常流量的检测分为两个过程:流量数据的采集,流量数据的分析。数据采集的方法大体上分为两类:流量镜像和流级数据采集。 数据的分析方法上也可以分为两类:基于数据包信息的特征检测和行为分析和基于包头信息的统计分析。
做好两点保护计算机 目前网络异常流量监测技术呈现迅猛发展的态势,技术和产品不断更新,也朝着越来越智能化的方向发展,具体表现在:流量自学习能力,可以更加精确地掌握网络中实际的正常流量的情况,为判断异常流量提供有力的依据;蠕虫攻击特征检测,可以提高已知蠕虫特征的攻击监测准确性,也可以提高监测未知蠕虫攻击的能力;攻击源的自动追溯,可以提高攻击源的定位效率,从而大大提高应急响应的速度。
建立异常流量监控与预警机制,建立终端客户网络,从而为企业提供更精准的信息。当发现这种攻击时,能够及时发布一些预警及处理策略,让企业员工去处理这种网络危机。对企业来说,基础设施与支撑系统的防护主要通过两个方面来做: 第一、网络安全边界的保护。
比如:部署结合多种防护技术的多层式防御架构,应该分别在三个层级建置整合式的解决方案,包括了部署在互联网网关、网络传输过程中和桌面终端的各种创新技术,来达到网络安全保证。 第二、做拒绝服务攻击的防范。
通过路由过滤或ACL(访问控制列表)的方式可隐藏路由设备等系统的IP地址。注:ACL配置不当或丢失,也会导致用户数据流异常。 异常流量的疏导和控制 除了以上对基础设施及支撑系统的保护外,对企业而言,异常流量的疏导和控制的策略更为重要。
因为这种攻击对于企业而言,单单去靠人去跟踪、去封堵根本不够,还要借助一些技术上的手段,主要有三个手段: 第一、采取一定的手段能够把这些害群之马踢出来,对异常流量进行疏导与控制。
此外,还要向内部网络延伸防范能力,因为往往内部网络既是攻击源头,也有可能是受害源头,争取把这种边缘化的网络在根源处就处理掉。 第二、流量清洗网络。流量清洗不仅仅是保护企业网络,更主要保护的是基础设施不要被别人攻击。
第三、QoS抑制病毒流量。当攻击存在的时候,往往不是从一个地方来的,而是来自网络的四面八方,拥塞了网络的出口流量。当发现这种流量存在的时候,必须采取一些动作,在多个局域网边缘对攻击流量进行丢弃或流量抑制。
如果企业能够看到全局状态,当发现这种情况时,利用相关的软件来压制这些流量先不要上来,再通过一个集中的出发点做边缘上的控制,这样才会更好地进行流量抑制,为企业信息安全保驾护航。
以上是我对于这个问题的解答,希望能够帮到大家。
硬件防火墙的原理?
硬件防火墙是一种计算机网络安全系统,可限制进出专用网络或专用网络内的互联网流量。硬件防火墙通常由一些软、硬件组合而成,如ASIC芯片、FPGA等,它根据一定的安全规则来控制流过防火墙的网络包,如禁止或转发、能够屏蔽被保护网络内部的信息、拓扑结构和运行状况,从而起到网络安全屏障的作用。
硬件防火墙的工作原理是:当数据包到达防火墙时,防火墙会检查数据包中的目标IP地址和端口号等信息,并根据预先设定的安全规则进行判断。如果数据包符合安全规则,则允许通过;否则,将数据包丢弃或者拒绝传输。