Simple DNS DDoS attack method at GCP

透過DNS反射（reflection）技術，可以用相較起來較少量的機器（通常是用被入侵淪陷的機器）來對受害者產生巨大的流量。 在一般情況下，被濫用的DNS伺服器甚至不會知道自己正在參與攻擊。 這類型的攻擊很難被追踪，因為來源IP地址已經是變造過的。 你需要DNS伺服器管理者和他們網路服務供應商的大力協助才有辦法追查攻擊來源。 網路營運商和DNS伺服器管理者都可以幫忙消除這些攻擊。 據估計，有14.1%的網段，佔所有IP地址的16.8%被用來造假。 這聽起來很少，但網際網路是個很大的地方。 使用DNS反射攻

在互聯網體系中，DNS扮演着重要角色，它負責將人類可讀的域名轉換為計算機能夠識別的IP地址，如果DNS體系遭受攻擊發生故障，就會造成大面積的網絡失序，其影響力和破壞力是巨大的。 而DNS體系在設計之初，只考慮了實用性而忽視了安全性，導致其成為網絡攻擊的重點目標。 而DNS反射放大攻擊就是利用了DNS系統的漏洞和特性，通過偽造和放大網絡流量來消耗目標服務器的資源，最終導致服務中斷。 DNS服務器在接收到查詢請求後，會根據請求中的目標IP地址，也就是攻擊者偽造的目標服務器的IP地址，將大量的解析響應數據發送到

DNS反射攻擊 攻擊手法 攻擊者向反射服務器發送解析DNS request，反射服務器向目標主機發送大量的DNS response回覆給目標主機，造成攻擊者只要發送一點流量就能使目標主機收到大量的無意...

在這個案例中，攻擊者就是使用DNS反射式攻擊來進行分散式阻斷服務攻擊（Distributed Denial of Service, DDoS）。 攻擊者對目標主機發動密集且來源分散的網路存取行為，來達到消耗目標主機網路頻寬以及運算資源的目的，藉此降低目標主機的對外服務品質，甚至導致服務中斷。 這樣的攻擊手法大大降低了DDoS攻擊的啟動門檻。

近期北區學術資訊網路中心偵測到各區網有大量的 「DNS 放大 (反射)攻擊」事件發生，此事件發生原因多半為校園內的DNS伺服器的設定不良，導致被利用當成跳板來攻擊網際網路上的其它主機。 煩請各位夥伴上網尋找免費的scan工具，針對port 53有開放的條件去搜尋，尋找校內存在的DNS server，並盡快檢測與修正問題，以免發生攻擊事件造成學校出口壅塞，甚至被國外單位檢舉為黑名單 IP。

近期校園內出現大量對外的DNS response流量，經分析後發現為最近熱門的DDoS攻擊「DNS放大 (反射)攻擊」。 校園內的電腦或伺服器由於設定不良，導致被利用當成跳板來攻擊網際網路上的其它主機，本文將介紹如何檢測與設定DNS服務，以防止被利用來當成跳板來 ...