攻击者启动使用DNSSEC放大的多向量DDOS攻击

DDOS攻击正越来越复杂，结合了需要不同缓解策略的多种攻击技术以及滥用新协议。

来自Akamai的事件响应者最近帮助减轻了对未命名的欧洲媒体组织的DDOS攻击，该组织在363G BPS（每秒比特）和每秒5700万个包中达到顶峰。

虽然大小本身令人印象深刻，但在一个组织可以自己争斗的情况下，攻击也会出现，因为它组合了六种不同的技术，或者矢量：DNS反射，SYN洪水，UDP片段，推洪，TCP洪水和UDP洪水。

Akamai在上个月发布的报告中表示，今年第一季度观察到的所有DDOS攻击的近60％的DDOS袭击的攻击都是多矢量攻击。其中大部分使用了两种载体，只有2％的使用五种或更多种技术。

这种大攻击中使用的DNS（域名系统）反射技术也很有趣，因为攻击者滥用了启用了DNSSEC的域以生成更大的响应。

DNS反射涉及滥用误解欺骗请求的DNS解析器。攻击者可以通过指定目标的Internet协议（IP）地址作为请求的源地址，将DNS查询发送到Internet上的这些服务器。这使得服务器将其对受害者的响应引导而不是DNS查询的真实来源。

这种反射对于攻击者来说是有价值的，因为它隐藏了恶意流量的真实来源，因为它可以具有放大效果：DNS服务器发送给受害者的响应大小比触发它们的查询更大，允许攻击者生成更多交通比他们否则。

对于域名系统安全扩展名（DNSSEC）的域名CONPD查询仅增加放大因子，因为DNSSEC响应甚至比常规更大。这是因为它们具有用于加密验证的额外数据。

DNSSEC允许客户端验证DNS数据的源以及数据的完整性，确保DNS响应HAVEN ended and in with route，并且由查询域名的权威服务器提供。

“在过去的几个季度，Akamai已经观察并减轻了许多DNS的反射和放大DDOS攻击，即滥用DNSSEC-CONPD领域，”Akamai研究人员在周二发布的咨询中表示。

该公司已观察到与不同行业的目标的DDOS扩增攻击中相同的DNSSEC-CONPD域名。

星期二发布的一个单独的Akamai咨询描述了今年违反Massachusetts技术研究所的网络的几个DDOS活动。其中一个攻击发生在4月份，并通过触发CPSC.Gov和ISC.ORG的响应，使用DNS反射，启用了两个DNSSEC的域名。

“域名所有者本身并不是错，唐”T感受到这些袭击的影响，“Akamai研究人员说。“攻击者通过发送IP源被设置为MIT目标IP的欺骗DNS查询，滥用滥用拆分者。大多数这些服务器都将缓存初始响应，因此不会向权威名称服务器进行多个查询。“

不幸的是，DNS不是唯一可用于DDOS放大的协议。NTP，Chargen和SSDP协议也常用于这种攻击，并且不幸的是，只要互联网上的MISCONPD服务器和设备即可，这种技术将继续受到攻击者的青睐。