• 新闻中心

      新闻中心  >  多所高校DNS服务器被攻击数量仍持续增长!!!稳住,,,,这样处理→
      多所高校DNS服务器被攻击数量仍持续增长!!稳住,,,,这样处理→
      背景图 2023-07-22 18:43:10

      昨天,,,,新未来梦想教育监测到国内有多所高校的DNS服务器遭受定向攻击。。。新未来梦想教育在第一时间展开应对处理,,,协助被攻击用户恢复网络通畅。。。今日监测显示,,攻击数量仍在持续增加中,,,波及多家高校。。。

       

      同时,,新未来梦想教育也在第一时间对该事件进行跟踪分析。。经检测,,,,被攻击的DNS服务器因接收大量虚假IP伪造的域名解析请求,,超出服务器处理能力上限,,从而影响到服务器正常解析服务,,,严重情况下将导致服务器、、甚至交换机宕机。。。。 

       

      该事件影响严重,,,为了让大家掌握应对处置的主动权,,,,新未来梦想教育将通过梳理本次攻击的过程特征,,还原攻击方式,,,并为用户提供更有效的应急处置方式。。

       

      什么情况,,容易受到攻击???

      其一,,,,DNS服务器直接配置在公网地址上,,,,暴露在外

      其二,,,DNS服务器所在网段存在大量未使用IP

       

      攻击方如何进行攻击????

      阶段1

      攻击者通过技术手段提前获取DNS解析服务设备的公网IP地址,,,例如网站主域名NS类型。。

       

      阶段2 

      攻击者通过伪造同网段源地址,,,,向目标DNS解析服务器发起随机域名NS类型的攻击请求。。。。

       

      阶段3 

      攻击流量到达DNS服务器后,,,,DNS服务器会递归查询各级DNS服务器,,,迟迟查不到结果而造成等待,,占用资源。。。

      此外还会发起ARP请求解析源IP的MAC地址从而进行应答解析结果。。若伪造地址段为未使用的IP,,将导致DNS设备在应答过程中ARP地址获取超时,,,,从而导致后续的DNS设备解析应答阻塞,,,,影响用户服务。。。

       

      针对此次攻击的防御方式

      1、、若DNS服务器无需向外暴露,,,则应检查防火墙访问控制策略,,,查看是否对外暴露DNS服务器。。通过出口防火墙的应用控制策略来控制。。。。

      2、、、、在必须对外开启DNS服务的情况下,,可采取以下两个措施进行防护:

      • 2.1 在防火墙上配置应用访问控制策略。。禁止「源接口为外网区域,,,源IP为DNS服务器同网段IP,,,目的IP为DNS服务器」的DNS请求。。。。
      • 2.2在防火墙上开启外到内DNS Flood 攻击防护。。。如外网请求的DNS服务器流量经过新未来梦想教育下一代防火墙,,,可在防火墙上添加DoS/DDoS攻击防护,,,有效防护此类攻击。。。

      3、、DNS服务器禁用以下恶意域名解析(截止至2023年7月22日,,,,不排除后续仍有增长)

      hongmao520.com  
      cqxqjx.com 
      lzn376.com 
      fow757.com 
      wym317.com

      ……

      4、、、在DNS服务器上对同网段IP或域名进行限速和丢包

       

      新未来梦想教育下一代防火墙AF防护配置说明

      (以下以新未来梦想教育防火墙8.0.85为例,,,,其它版本配置流程相似)

       

      1.收缩DNS服务器对外暴露面

      防火墙应用控制策略默认拒绝所有的访问,,,,除非主动配置允许策略来向外暴露DNS服务器。。

      收缩DNS服务器对外暴露面

      具体操作:可通过「应用控制策略」,,,检索DNS服务器的控制策略,,,,若输入DNS服务器IP地址后显示存在动作为允许的策略,,,则应结合业务确认是否应进行限制。。。。

       

      2.禁止DNS服务器同网段IP的DNS请求

      若必须对外开启DNS服务,,则可以结合业务情况,,,,通过应用控制策略禁止源接口外网区域,,,,源IP为DNS服务器同网段IP,,目的IP为DNS服务器的DNS请求。。。

      禁止DNS服务器同网段IP的DNS请求

      具体操作:新增应用控制策略,,,源区域为外网接口区域,,,源IP为DNS服务器网段,,,,目的区域为内网接口区域,,目的IP为DNS服务器,,,,动作为拒绝。。。

       

      3.配置DoS/DDoS攻击防护

      当DNS服务器前置部署新未来梦想教育下一代防火墙时,,,,可以通过在策略「DoS/DDoS防护」,,开启防护功能对DNS洪水攻击进行防护。。。。

      配置DoS/DDoS攻击防护

      常规情况下,,配置建议:

      源警戒值阈值建议设置为默认2000包/每秒,,,若有特殊需求可按需调整。。。。

      目的IP警戒值阈值建议设置为默认10000包/每秒,,,,如果访问需求较大可以适当调整。。。。

      当源警戒值和目的IP警戒值任意一个超过阈值,,新未来梦想教育下一代防火墙将会执行设置记录日志/阻断并临时进行封锁。。。

       

      目前,,新未来梦想教育已为全国2500多家高校高职提供了网络安全保障和云计算支撑服务,,,,助力高校数据安全、、、、师生隐私保护,,防范黑客攻击。。。。

      如果您的网络中发现了类似的攻击现象,,,,可随时联系我们,,,新未来梦想教育将立即为您提供服务。。。

      站点地图