• <nav id="5jebs"></nav>
    <button id="5jebs"></button>

      2.  
        2. 
    
           
          
        • 智安全
        • 信服云
        • 信創適配
        • 行業
        • 試用中心
        • 技術與服務
        • 合作伙伴
        • 產業教育
        • 更多
         
         
         
         
         
         
        中文
            
         
         
         
           
              
           
           
           
          搜索
           
          搜索
           
           
           
           
           
           
           
           
           
          中文
                      
           
           
           
           
          新聞中心
           
           新聞中心??>??多所高校DNS服務器被攻擊數量仍持續增長!穩住,這樣處理→
           
          多所高校DNS服務器被攻擊數量仍持續增長!穩住,這樣處理→
           
          背景圖 2023-07-22 18:43:10
           
           
           
          

          昨天,深信服監測到國內有多所高校的DNS服務器遭受定向攻擊。深信服在第一時間展開應對處理,協助被攻擊用戶恢復網絡通暢。今日監測顯示,攻擊數量仍在持續增加中,波及多家高校。
          

           
          

          同時,深信服也在第一時間對該事件進行跟蹤分析。經檢測,被攻擊的DNS服務器因接收大量虛假IP偽造的域名解析請求,超出服務器處理能力上限,從而影響到服務器正常解析服務,嚴重情況下將導致服務器、甚至交換機宕機。 
          

           
          

          該事件影響嚴重,為了讓大家掌握應對處置的主動權,深信服將通過梳理本次攻擊的過程特征,還原攻擊方式,并為用戶提供更有效的應急處置方式。
          

           
          

          

          

          

          

          什么情況,容易受到攻擊?
          

          

          其一,DNS服務器直接配置在公網地址上,暴露在外
          

          其二,DNS服務器所在網段存在大量未使用IP
          

          

          

          

          

           
          

          攻擊方如何進行攻擊?
          

          

          

          

          階段1
          

          

          

          攻擊者通過技術手段提前獲取DNS解析服務設備的公網IP地址,例如網站主域名NS類型。
          

          

          

          

           
          

          階段2 
          

          

          

          攻擊者通過偽造同網段源地址,向目標DNS解析服務器發起隨機域名NS類型的攻擊請求。
          

           
          

          

          

          

          階段3 
          

          

          

          攻擊流量到達DNS服務器后,DNS服務器會遞歸查詢各級DNS服務器,遲遲查不到結果而造成等待,占用資源。
          

          此外還會發起ARP請求解析源IP的MAC地址從而進行應答解析結果。若偽造地址段為未使用的IP,將導致DNS設備在應答過程中ARP地址獲取超時,從而導致后續的DNS設備解析應答阻塞,影響用戶服務。
          

          

          

          

          

           
          

          針對此次攻擊的防御方式
          

          

          1、若DNS服務器無需向外暴露,則應檢查防火墻訪問控制策略,查看是否對外暴露DNS服務器。通過出口防火墻的應用控制策略來控制。
          

          2、在必須對外開啟DNS服務的情況下,可采取以下兩個措施進行防護:
          

          

          

          

            

          • 2.1 在防火墻上配置應用訪問控制策略。禁止「源接口為外網區域,源IP為DNS服務器同網段IP,目的IP為DNS服務器」的DNS請求。
            • 

          • 2.2在防火墻上開啟外到內DNS Flood 攻擊防護。如外網請求的DNS服務器流量經過深信服下一代防火墻,可在防火墻上添加DoS/DDoS攻擊防護,有效防護此類攻擊。
            • 

          

          

          

          3、DNS服務器禁用以下惡意域名解析(截止至2023年7月22日,不排除后續仍有增長)
          

          

          

          hongmao520.com  
          cqxqjx.com 
          lzn376.com 
          fow757.com 
          wym317.com
          

          ……
          

          

          4、在DNS服務器上對同網段IP或域名進行限速和丟包
          

           
          

          

          

          

          

          深信服下一代防火墻AF防護配置說明
          

          

          (以下以深信服防火墻8.0.85為例,其它版本配置流程相似)
          

          

           
          

          1.收縮DNS服務器對外暴露面
          

          防火墻應用控制策略默認拒絕所有的訪問,除非主動配置允許策略來向外暴露DNS服務器。
          

          收縮DNS服務器對外暴露面
          

          

          

          具體操作:可通過「應用控制策略」,檢索DNS服務器的控制策略,若輸入DNS服務器IP地址后顯示存在動作為允許的策略,則應結合業務確認是否應進行限制。
          

          

           
          

          2.禁止DNS服務器同網段IP的DNS請求
          

          若必須對外開啟DNS服務,則可以結合業務情況,通過應用控制策略禁止源接口外網區域,源IP為DNS服務器同網段IP,目的IP為DNS服務器的DNS請求。
          

          

          

          禁止DNS服務器同網段IP的DNS請求
          

          具體操作:新增應用控制策略,源區域為外網接口區域,源IP為DNS服務器網段,目的區域為內網接口區域,目的IP為DNS服務器,動作為拒絕。
          

          

           
          

          3.配置DoS/DDoS攻擊防護
          

          當DNS服務器前置部署深信服下一代防火墻時,可以通過在策略「DoS/DDoS防護」,開啟防護功能對DNS洪水攻擊進行防護。
          

          

          

          配置DoS/DDoS攻擊防護
          

          常規情況下,配置建議:
          

          源警戒值閾值建議設置為默認2000包/每秒,若有特殊需求可按需調整。
          

          目的IP警戒值閾值建議設置為默認10000包/每秒,如果訪問需求較大可以適當調整。
          

          當源警戒值和目的IP警戒值任意一個超過閾值,深信服下一代防火墻將會執行設置記錄日志/阻斷并臨時進行封鎖。
          

           
          

          

          

          目前,深信服已為全國2500多家高校高職提供了網絡安全保障和云計算支撐服務,助力高校數據安全、師生隱私保護,防范黑客攻擊。
          

          

          如果您的網絡中發現了類似的攻擊現象,可隨時聯系我們,深信服將立即為您提供服務。
          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

           
           
          
              上一篇:
              
                全面深化合作戰略,京東科技與深信服正式簽約
              
           
           
          相關新聞
            查看更多新聞
          相關資料
            
          相關案例
            
           
           
           
           
            關于我們
             
          • 掃碼獲取一對一服務
             企業微信二維碼-官網
            •  
          • 關注我們
             
           
          智安全
          信服云
          資源中心
          如何購買
          售后支持
          公司
           
             
           
          熱門解決方案:
           
          DeepSeek承載創新方案
          云網端安全方案
          VMware替代方案
          一體化辦公安全方案
          友情鏈接:
           
          信銳技術
          口袋助理
          托管云官網
           
          ? 2025 深信服科技股份有限公司版權所有 
          粵ICP備08126214號 
          粵公網安備44030502002384號 
          合字B1.B2-20220041 
           
           
           
            
           
           
          
  
久久在精品线影院,久久视频这里只精品亚洲,99欧美精品含羞草,欧洲精品性爽视频