一次针对企业DNS攻击成功的入侵事件分析

漏洞标题: 一次针对企业DNS攻击分析
相关厂商: 其他
漏洞作者: lion(lp)
提交时间: 2012-11-09
公开时间: 2012-11-09
漏洞类型: 成功的入侵事件
危害等级: 中
自评Rank: 8
漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞详情

披露状态:

2012-11-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-11-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
一次针对DNS攻击分析

详细说明:
前阵子,遇到一次DNS攻击事件,怀疑是DNS反射攻击简单的给大家看一下相关的分析,现共享出来。由于隐私问题,我将一些IP地址隐去隐藏的IP地址即为被攻击的DNS服务器

一次针对企业DNS攻击成功的入侵事件分析

主要观察119111和119114这两个数据包
在对方发送的数据包中,第119111个数据包中对方通过发送一个畸形DNS请求数据包至被攻击的DNS服务器,(即DNS查询结果为REFUSED的包)使DNS服务器反查对方记录(第119114个数据包)。造成DNS负载加大,查询量升高。
对第119111数据包进行深入检查,发现发包特征如下

一次针对企业DNS攻击成功的入侵事件分析

即在FLAGS将最后四位置成0101 完成攻击。
造成DDOS攻击的IP截图
共计212个警告,98%均为DNS收到REFUSED包

一次针对企业DNS攻击成功的入侵事件分析

总结一下攻击方式,即为对方先通过发送一个特殊DNS查询包,造成DNS反向解析对方地址。消耗资源。