一、事件说明

7月20日发现大量高校DNS被洪水攻击，致使学校DNS安全风险增大（实际7月18日已经有个别院校发现类似情况）。

二、攻击方式及特征

1.    伪造与权威DNS同网段IP地址为源地址，向DNS发起洪水攻击。

2.    查询记录类型为NS，已发现携带查询域名：cqxqjx.com、hongmao520.com、fow757.com、lzn376.com、wym317.com，原理上携带任何域名均可以；

3.    攻击源IP伪造，且与DNS相同网段，DNS无法通过ARP协议找到目标主机，最终丢弃响应数据报文；

4.    大量攻击行为需要记录日志，致使磁盘I/O消耗增加、设备负载增高；

5.    攻击数据包特征：源IP为DNS同网段IP，源MAC地址为网关MAC。

三、危险级别

因我司DNS产品的数据分析模块是基于C自行开发的数据分析引擎，对日志的处理性能更高，被攻击设备表项只是负载有所增高，所以我司将此次事件的安全级别定义为：低。

四、处置方法

1.    

2.    

3.    

4.    

4.1.   非华域产品

1. 因各厂商或者开源软件对日志的记录行为不一致，如果无法确定日志记录方式，并且在设备未出现业务异常的情况下，建议不要使用域名拦截功能（本身就是洪水攻击，域名拦截属于应用层防御，效果不理想，并且还可能会出现二次伤害）；

2. 在网关设备做单播逆向路径检查（URPF），这是目前最直接有效的应对方法。

4.2.   华域产品

       我们针对此次攻击行为的特征，已发布两个更新包，如果学校无法配置URPF，请按如下方法在DNS设备内进行配置拦截：

       1.  安全管理--防火墙，添加防火墙策略，源MAC为网关MAC、源地址为DNS所在网络，动作拒绝；

       2.  安全管理--安全联盟，开启“720事件华域威胁感知推送”策略；

       3. 如设备内防火墙没有源MAC地址输入项，安全联盟没有“720事件华域威胁感知推送”策略，请在系统升级页面在线升级版本。