最近觀察到一種 DNS 的攻擊行為, 似乎是 Botnet 的攻擊模式
其共同模式為:
1. TXT query
2. response result > 2K (也就是需要 2 個以上的封包才能傳完), 例如 host -t txt gd21.net
3. 許多不同的 IP query 同一個 domain 的 TXT
4. query 頻率很高
5. 攻擊非持續進行, 從幾分鐘到幾小時都有
這樣的行為會造成 DNS 忙著回應這些 abuse query, 量大的話很恐怖,
輕則流量大增, 重則癱瘓 DNS 的網路, 影響服務.
造成正常的用戶查詢困難或甚至查不到 Domain,
算是一種 DDoS 攻擊.
Intel 的網卡若在抓封包時要看到 802.1q VLAN or QoS tagged frames(如下圖), 必需調整 Registry
依這篇文章加完 Key 後, 將網卡停用啟用即可
Network Connectivity My sniffer is not seeing VLAN, 802.1q, or QoS tagged frames
若不知網卡的 Driver 是那一種, 就兩個 Key 都加 (MonitorModeEnabled and MonitorMode)
This page is an archive of entries in the Network category from July 2012.
Network: May 2012 is the previous archive.
Network: September 2012 is the next archive.
Find recent content on the main index or look in the archives to find all content.
Recent Comments