详细内容或原文请订阅后点击阅览
SecShow:DNS 攻击防御
黑客的动机是什么?为什么他们会使用如此不寻常的方法?
来源:安全实验室新闻频道网络安全研究人员发现了一个代号为 SecShow 的中国组织的活动,该组织自 2023 年 6 月以来一直通过域名系统 (DNS) 进行全球攻击。
DNS据 Infoblox 专家介绍,SecShow 通过中国教育研究网络 (CERNET) 运营,并得到当地政府的积极资助。
基于数据 信息块报告指出:“这些攻击旨在检测和测量开放解析器上的 DNS 响应。” “SecShow 运营的最终目标尚不清楚。现在收集的信息虽然可以用于恶意目的,但到目前为止只对攻击者本身有用。”
有人猜测,该操作可能与涉及“secshow[.]net”域上的 IP 欺骗测量的科学研究有关,类似于封闭解析器项目。然而,这引发了更多问题,包括数据收集的目的以及使用共享 Gmail 地址获取反馈的意义。
IP开放解析器是 DNS 服务器,可以接受和处理来自 Internet 上任何人的域名,使其容易受到 DNS 放大等 DDoS 攻击。
DDoS该攻击基于使用 CERNET 名称服务器来识别开放 DNS 解析器并计算 DNS 响应。该过程涉及将 DNS 查询从未指定的源发送到开放解析器,导致 SecShow 名称服务器返回随机 IP 地址。
有趣的是,这些名称服务器被配置为针对来自不同开放解析器的每个请求返回一个新的随机 IP 地址,由于 Palo Alto 的 Cortex Xpanse 软件产品,导致请求增加。
此过滤过程会对域发起新的 DNS 查询,这会导致名称服务器返回另一个随机 IP 地址,从而形成无限的查询循环。
Dataplane.org 第 42 单元。