浅析各类DDoS攻击放大技术

这种方法使攻击者不必明确hash信息，发送一个伪造的MSE包(包括768位的公钥没有随机数)，客户端随即会反馈随机数和公钥。

结果证明MSE攻击会显著提升效率。进一步说，加密装载Ba和MSE生成的包Bv，熵高的属性，使其难以被ISP或者DPI防火墙发现并封锁。

0×04 深入DNS放大DDoS攻击

DNS反射攻击也能轻易达到千兆的级别。

最初的放大攻击是著名的SMURF攻击，发送ICMP请求给路由网络广播地址，配置发送ICMP给路由下的设备。攻击者欺骗ICMP请求源是受害者的IP，因为ICMP不包括握手，所以目标无从确认源IP是否合法。攻击者放大攻击的效果取决于路由下有多少设备。 不过SMURF攻击是过去的事了，网络管理员已经配置它们的路由器不将ICMP请求发给网络广播地址。

好的放大攻击方法有两个条件：

1、协议没有握手，允许IP源地址伪造(例如ICMP，UDP)

2、对查询的回复要大于查询本身

DNS是核心，无处不在的网络平台就是放大攻击的资源。

DNS基于UDP传输，因此它们的源地址可以伪造并且接收者回应前无从确定真实性。DNS也可以生成更大的反馈，输入 dig ANY www.baidu.com @x.x.x.x(x.x.x.x是公开DNS解析器)，这是一个64字节的查询会返回3223字节，攻击效果放大了50倍。讽刺的是，huge DNSSEC 密钥 ——这个被用来增加DNS系统安全性的协议反而成了放大攻击的帮凶。

公开DNS解析器是互联网的悲剧。

如果你用一个DNS解析器确保只返回可信用户的查询，例如你公司的IP空间是10.10.10.0/24 DNS解析器就只返回这个范围IP的查询，而不会回应6.6.6.6的查询信息。

问题就在于许多人运行DNS解析器而不在乎哪个IP地址的人查询。这样的问题已经存在10年之久，发生的事件表明很多不同的僵尸网络为了发现DNS解析器开始枚举互联网IP空间，一旦发现就可利用于DNS放大攻击。中国台湾拥有世界第二多的公开DNS解析器资源。

有这样一个网址可以查询你的DNS http://openresolverproject.org/