“720”DNS安全事件 说明及处置方法

2023-10-08 13:32:52 139

一、事件说明


7月20日发现大量高校DNS被洪水攻击,致使学校DNS安全风险增大(实际7月18日已经有个别院校发现类似情况)。

二、攻击方式及特征


1.    伪造与权威DNS同网段IP地址为源地址,向DNS发起洪水攻击。

2.    查询记录类型为NS,已发现携带查询域名:cqxqjx.com、hongmao520.com、fow757.com、lzn376.com、wym317.com,原理上携带任何域名均可以;

3.    攻击源IP伪造,且与DNS相同网段,DNS无法通过ARP协议找到目标主机,最终丢弃响应数据报文;

4.    大量攻击行为需要记录日志,致使磁盘I/O消耗增加、设备负载增高;

5.    攻击数据包特征:源IP为DNS同网段IP,源MAC地址为网关MAC。

三、危险级别


因我司DNS产品的数据分析模块是基于C自行开发的数据分析引擎,对日志的处理性能更高,被攻击设备表项只是负载有所增高,所以我司将此次事件的安全级别定义为:低。

四、处置方法


4.1.   非华域产品

1. 因各厂商或者开源软件对日志的记录行为不一致,如果无法确定日志记录方式,并且在设备未出现业务异常的情况下,建议不要使用域名拦截功能(本身就是洪水攻击,域名拦截属于应用层防御,效果不理想,并且还可能会出现二次伤害);

2. 在网关设备做单播逆向路径检查(URPF),这是目前最直接有效的应对方法。

4.2.   华域产品

       我们针对此次攻击行为的特征,已发布两个更新包,如果学校无法配置URPF,请按如下方法在DNS设备内进行配置拦截:

       1.  安全管理--防火墙,添加防火墙策略,源MAC为网关MAC、源地址为DNS所在网络,动作拒绝;

       2.  安全管理--安全联盟,开启“720事件华域威胁感知推送”策略;

       3. 如设备内防火墙没有源MAC地址输入项,安全联盟没有“720事件华域威胁感知推送”策略,请在系统升级页面在线升级版本。

图片关键词

图片关键词


400-6996-601

深圳华域通信技术有限公司 版权所有 2008-2023

深圳市福田区福田街道福南社区福虹路9号世贸广场

全国统一客服热线:400-6996-601

首页
产品
案例