CAMP：一种新型 DNS 组合放大攻击

本文阅读大约需要45分钟；

标题为“CAMP：针对 DNS 的组合放大攻击”的学术论文，发表于 2024 年 USENIX 安全研讨会，由苏黎世联邦理工学院和瑞士军方机构 Armasuisse 的研究人员合作完成。这项研究成果在 DNS 安全领域具有重要意义，或可被视为 2024 年度欧洲知名教育机构与军方在该领域最具代表性的合作研究成果之一。

一、研究背景

研究背景是近年来 DNS 放大攻击的兴起， 这些攻击利用 DNS 协议的特性和漏洞，将攻击流量放大数百甚至上千倍，对目标 DNS 服务器造成巨大的压力，导致拒绝服务。现有的一些 DNS 放大攻击方法，例如伪随机子域名攻击 (PRSD) 等，存在攻击请求速率高、容易被检测等缺点。这份论文提出了一种名为 CAMP（组合放大攻击）的新型攻击方法，它通过组合多种 DNS 机制，例如 CNAME 链、NS 记录等，可以实现更高的放大倍数，并且更难以被检测。

二、论文核心内容解读

1. 应用层放大攻击的兴起:传统的 DNS 反射放大攻击依赖于 UDP 协议，而应用层放大攻击则利用应用层协议（例如 HTTP）的特性，通过单个客户端请求触发大量的解析器查询，从而放大攻击流量。这种攻击方式的请求速率更低，更难以被检测，并且可以绕过一些传统的 DDoS 防御措施。

2. 现有的应用层放大攻击:  论文中介绍了 iDNS 攻击和 Unchained 攻击等现有的应用层放大攻击方法。这些攻击利用了 DNS 协议中的特定机制，例如 NS 记录委派、CNAME 记录链等，来放大攻击流量。

3. 组合放大攻击 (CAMP):这是该论文的核心内容。CAMP 攻击通过组合多种 DNS 机制，例如 CNAME 链、NS 记录、以及查询名称最小化和密集委派等技术，实现了攻击流量的倍增的放大效果，从而达到更高的放大倍数。这意味着攻击者只需要发送少量的请求，就能产生巨大的攻击流量，对目标 DNS 服务器造成更大的压力。

4. CAMP 攻击的分类:论文提出了一个放大攻击原语的分类法，将  CAMP 攻击根据其组合方式，分为自探测、扇出和链式三种类型，并详细解释了每种类型的攻击原理和特点。

5. CAMP 攻击的潜在目标：CAMP 攻击的潜在目标包括：

• 提供公共 DNS 托管服务的权威域名服务器。

• 攻击者可以访问的递归解析器。

• 任意的域名服务器，只要攻击者能够控制相关域名的  NS  记录。

6. CAMP 攻击的影响：CAMP 攻击可以绕过现有的  DNS  查询限制，例如对单个客户端请求的查询数量限制、递归查询深度限制等，从而对目标  DNS  服务器造成更大的影响，尤其是在缓存未命中的情况下，CAMP  攻击的效果更加明显。

7. 实验验证:  研究人员在  BIND、Unbound  和  PowerDNS  等主流  DNS  服务器软件上进行了实验，验证了  CAMP  攻击的有效性，并发现这些软件都存在不同程度的漏洞，可以被  CAMP  攻击利用。

三、笔者的理解与拓展

目前没有公开证据表明 CAMP 攻击已被用于国家之间的网络战。该攻击的技术细节在学术会议上公开发布，旨在提高人们对这种新型 DDoS 攻击的认识，并促进相关的防御研究。

虽然 CAMP 攻击具有很大的潜在危害，但它仍然是一种 DDoS 攻击，其主要目的是瘫痪目标 DNS 服务器，而不是直接入侵或控制目标系统。国家之间的网络战通常会使用更复杂的攻击手段，例如高级持续性威胁 (APT) 攻击、0day 漏洞利用等，以窃取敏感信息、破坏关键基础设施等为目的。

当然，我们不能排除 CAMP 攻击被用于国家级网络攻击的可能性。随着  DDoS 攻击技术的不断发展，以及攻击工具的易用性不断提高，各种类型的  DDoS 攻击，包括  CAMP 攻击，都有可能被用于国家之间的网络对抗。因此，各国政府和组织机构需要加强对  DNS  服务器的防护，提高  DNS 服务的稳定性和安全性，以应对潜在的  DDoS 攻击威胁。

笔者对CAMP攻击场景的设想（敬请参考）

• 针对 DNS 服务提供商的攻击：攻击者可以利用 CAMP 攻击，瘫痪 DNS 服务提供商的 DNS 服务器，从而影响大量的用户无法正常访问互联网。

• 针对企业和组织的攻击：攻击者可以利用 CAMP 攻击，瘫痪企业或组织的 DNS 服务器，从而导致员工无法访问内部网络资源，或网站无法正常访问。

• 针对个人的攻击：虽然可能性较小，但攻击者也可以利用 CAMP 攻击，瘫痪个人的 DNS 服务器，从而导致该个人无法正常访问互联网。

• 勒索攻击的辅助攻击：攻击者可能会在勒索攻击之前或同时，对目标组织的  DNS  服务器发起  CAMP 攻击，使其无法正常提供服务，增加目标组织的压力，迫使其支付赎金。

• 政治或社会活动中的攻击：攻击者可能会在政治或社会活动中，使用 CAMP 攻击来攻击政府网站或其他重要目标的  DNS 服务器，表达抗议或制造混乱。

四、论文启示

• 揭示新型 DDoS 攻击:  该研究揭示了 CAMP 这种新型的 DDoS 攻击方式，并对其攻击原理和潜在危害进行了深入分析，提高了人们对这种攻击的认识。

• 提供防御建议：论文中提供了一些防御 CAMP 攻击的建议，例如改进 DNS 协议、限制查询速率、过滤恶意请求等，可以帮助组织机构更好地防御这种攻击。

• 促进安全研究：该研究为 DNS 安全研究提供了新的思路，并提出了一些有待进一步研究的问题，例如，如何更有效地检测和阻止 CAMP 攻击，如何提高 DNS 服务器的防御能力等。

五、论文使用建议

• 安全研究人员: 可以学习 CAMP 攻击的原理和技术细节，并尝试复现攻击，从而更好地理解这种攻击方式，并开发更有效的防御措施。

• 渗透测试人员: 在进行渗透测试时，可以使用 CAMP 攻击来评估目标网站的 DNS 服务器的防御能力，但必须在授权的情况下进行。

• 安全管理员: 可以参考论文中提供的防御建议，改进 DNS 服务器的配置，例如，限制查询速率、过滤恶意请求、禁用不必要的 DNS 功能等，提高 DNS 服务器的防御能力。

• DNS 服务提供商：可以参考论文提供的防御建议，改进 DNS 协议和 DNS 服务器的实现，例如，限制 NS 记录的数量、防止 CNAME 链追逐等，从而降低 CAMP 攻击的风险。

六、论文正文

如果您觉得文章对您有所帮助，还请您关注我！

原文始发于微信公众号（再说安全）：CAMP：一种新型 DNS 组合放大攻击