申論題

DNS 放大攻擊 Step1: 攻擊者向已受控制的殭屍電腦群下達開始攻擊指令。 Step2: 遭感染的殭屍電腦群向未做好安全設定的 DNS server發出偽造的DNS query 封包，偽造成受害者的 IP 位置成來源位置來進行遞迴查詢。 Step3: 受害的 DNS 主機向根目錄 Server 進行 domain 查詢。 Step4: 根目錄主機向受害 DNS 主機回傳查詢無此 domain 的訊息，並回傳另一根伺服器可能有其 domain 資料。 Step5: 受害 DNS 主機轉向另一根目錄 Server 進行 domain 查詢。 Step6: 外部根目錄 Server 回傳知道此 domain 資料的 DNS server 位置。 Step7: 受害 DNS 主機再度向此 DNS 發出查詢。 Step8: 外部 DNS 回傳受害 DNS 主機 domain 查詢資料。 Step9: 受害 DNS 主機向遭偽造來源的主機回傳 domain 查詢資料。

攻擊者透過不斷重複上述步驟，向目標主機發送大量 UDP 封包，藉此阻斷其正常服務，也由於受害 DNS 主機回傳到目標主機之封包大小會大於殭屍電腦群所發送的封包大小， 攻擊過程中流量具有放大的效果，故稱其為 DNS 放大攻擊。

Windows DNS為避免 DNS 主機被利用為攻擊的跳板，建議 DNS 設定須符合下列兩項安全性設定： 1.設定 ACL，僅允許符合 ACL 設定的網段進行 recursive query 2.關閉 recursive query

設定 ACL 1. 開啟 [DNS 管理員]。 2. 在主控台樹狀目錄中按一下適用的 DNS 伺服器。 位置：DNS/適用的 DNS 伺服器 3. 在 [執行] 功能表，按一下 [內容]。 4. 在 [介面] 索引標籤上，按一下 [只有下列 IP 位址]。 5. 在 [IP 位址] 中，輸入為此 DNS 伺服器啟用的 IP 位址，然後按一下[新增]。 6. 視需要重複上一個步驟，以指定為此 DNS 伺服器啟用的其他伺服器 IP 位址。 若要從清單移除 IP 位址，然後按一下 [移除]。或使用命令列執行: 1. 開啟命令提示字元。 2. 輸入下列命令，再按 ENTER 鍵

關閉 recursive query 1. 開啟 [DNS 管理員]。 2. 在主控台樹狀目錄的適當 DNS 伺服器上按一下滑鼠右鍵，然後按一下 [內容]。 位置：DNS/適用的 DNS 伺服器 3. 按一下 [進階] 索引標籤。 4. 在 [伺服器選項]中，選取 [停用遞迴] 核取方塊，然後按一下 [確定]。 或使用命令列執行： 1. 開啟命令提示字元。 2. 輸入下列命令，再按 ENTER 鍵