تفاوت بین حمله سیل DNS و حمله تقویت کننده DNS

DNS Flood

یک نوع حمله انکار سرویس توزیع شده (DDoS) در
  که مهاجم یک یا چند سیستم نام دامنه (DNS)
  سرورها متعلق به یک منطقه خاص، تلاش برای جلوگیری از حل و فصل
  سوابق منابع آن منطقه و مناطق زیر آن.
  Incapsula

 شرح تصویر را وارد کنید DNS Flood

حمله DNS تقویت

در یک حمله تقویت DNS، تعداد زیادی از درخواست DNS ارسال می شود
  با یک آدرس آی پی جعلی به یک یا چند سرور DNS. بسته به
  در پیکربندی، این سرویس دهنده DNS یک پاسخ را به آدرس ارسال می کند
  آدرس IP که درخواست از آن ظاهر شد.
  SimpleDNS

 توضیحات تصویر را وارد کنید در اینجا DNS Diffusion DDoS Attack

اگرچه US Cert و CloudFlare هر دو تعاریف خوب دارند، احساس می کردم آنها ساده نیستند. با این حال، من آنها را به عنوان استناد به عنوان آنها شامل کارهای فنی.

حملات DNS سیل با استفاده از اتصالات پهنای باند بالا از دوربین های IP، جعبه های DVR و دیگر دستگاه های IOT به طور مستقیم غلبه سرورهای DNS از ارائه دهندگان عمده. حجم درخواست های دستگاه های IoT سرویس های ارائه دهنده DNS را کاهش می دهد و از دسترسی کاربران مشروع به سرورهای DNS ارائه دهنده جلوگیری می کند.

حملات انفجار DNS با حملات تقویت DNS متفاوت است. برخلاف سیل های DNS، حملات تقویت DNS، منعکس کننده و تقویت ترافیک از سرورهای DNS ناخواسته می شود تا منشأ حمله را پنهان کرده و اثربخشی آن را افزایش دهد. حملات تقویت DNS از دستگاههایی با اتصالات پهنای باند کوچکتر برای درخواست های متعدد به سرورهای DNS ناخواسته استفاده می کند. این دستگاه درخواست های کوچک زیادی را برای سوابق DNS بسیار بزرگ انجام می دهد، اما هنگام تهیه درخواست ها، مهاجم آدرس برگشت را به عنوان قربانی مورد نظر جعل می کند. این تقویت به مهاجم اجازه می دهد که اهداف بزرگتری را با منابع محدود حمله محدود کند.

فای – رفع حمله جدید به WPA2 شامل PMKID

یک حمله جدید کشف شد که اجازه می دهد تا یک عبارت عبور WPA2 را بدون نیاز به دست زدن دستی 4 طرفه رفع کرد. در حالی که این رمز عبور خود را تضعیف نمی کند، این بدان معنی است که مهاجم می تواند تلاش های خود را بدون نیاز به مجوز اعمال مجوز انجام دهد تا بتواند دستخط خود را دستکاری کند. من فکر می کنم چگونگی این را می توان به طور موثر مقابله کرد.

از آنجا که این حمله به رومینگ نیاز دارد، کافی است اطمینان حاصل شود که 802.11r فعال نیست و برای تنظیم rsn_preauth = 0 در تنظیمات hostapd برای غیرفعال کردن 802.11i / پیش از تصدیق RSN / WPA2؟

سرور – چگونه برای تشخیص یک حمله DoS اگر امروز همه از ترجمه آدرس شبکه استفاده کنید؟

احتمالا تعداد قابل توجهی از کاربران در برخی از شرکت های بسیار بزرگ به طور ناگهانی در زمان و مکان مجدد خود یک بار دیگر از سرور خود دسترسی پیدا می کنند، از هیچ جا. این ممکن است، اما به سختی اتفاق می افتد، اگر همه

DoS تقریبا تمام وقت باعث افزایش بسیار زیادی در ترافیک، به عنوان مثال، بیش از یک اثر Slashdot. چیزی شبیه به این:
 DDoS Chart

این یک تصویر قدیمی است، اما اصل همان است. امروزه یک ترافیک 36 مگابایتی، امروزه هیچ گوشی هوشمند دیگری قادر به انجام آن نیست.

و اگر برخی از شبکه های بزرگ برای حمله به سرور شما ربوده شوند، تمام بسته ها از یک بلوک واحد (و یا چندین بلوک مربوط به آن) به وجود می آیند، بنابراین آسان است که چنین حمله را شناسایی و مسدود سازند.

حملات واقعی DDoS معمولا از هزار تا صدها هزار آدرس مختلف، نه چندین.

شبکه – حمله عجیب و غریب سرور CPU من فوق العاده بالا است

متوجه شدم که سرور سرور من فوق العاده بالا است و دلیل آن grep A است دستور

 سرور ها

پس از نگاه عمیق، آنچه در اینترنت فعال من یافتم لیست اتصالات ( netstat-tupn )

    tcp 0 138.xxx.140.xxx: 60752 198.1.158.134:80 ESTABLISHED 1583 / grep "A"

این کار را با تماس sudo kill -9 1583 انجام دادم و سپس یک آدرس IP مشابه با یک دستور مختلف ارتباط برقرار کرد

tcp 0 138.xxx.140.xxx: 32956 198.1.158.134:8000 ایجاد شده 13139 / id

با فراخوانی lsof نام فرآیند یافت شده bkhcdgfdv با این خطوط

 bkhcdgfdv 14771 14825 ریشه 5r REG 253،1 4516064 57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826 root cwd DIR 253،1 4096 2 /
bkhcdgfdv 14771 14826 root rtd DIR 253،1 4096 2 /
bkhcdgfdv 14771 14826 root txt REG 253،1 625878 2100 / usr / bin / bkhcdgfdva
bkhcdgfdv 14771 14826 root 0u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 1u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 2u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 3u IPv4 309207 0t0 TCP MY_HOSTNAME: 32982-> 198.1.158.134:8000 (ESTABLISHED)

پرسش: چه نوع حمله ای است و چگونه می توانم آن را متوقف کنم؟