医疗行业面临的DNS NXDOMAIN DDoS攻击威胁

关键要点

医疗机构正面临来自Killnet的持续攻击。同时，最新的DDoS攻击 专注于通过发送大量的虚假DNS请求来淹没目标网络和服务器，这些请求针对的是不存在的域名NXDOMAIN。

美国卫生与公共服务部网络安全协调中心发布的最新警报显示，这种针对DNS NXDOMAIN的DDoS攻击旨在通过大量无效请求来使目标服务器过载。结果是，受影响的DNS服务器耗费大量时间试图寻找那些不存在的域名，而不是处理有效用户请求，这不仅减慢了服务器速度，还阻止了其响应合法请求。

随着无效请求量的增加，服务器的响应速度会变得越来越慢。与此同时，合法用户在访问网站时会进一步加重负担。警报指出：“在大多数情况下，DNS代理服务器和DNS权威服务器会把所有时间用于处理这些错误请求。”

更糟糕的是，检测和阻止此类攻击非常困难，因为攻击是由包含成千上万被攻陷设备的僵尸网络 发起的，和当前的DDoS活动类似。成功的攻击会导致资源利用率上升，以及NXDOMAIN回复缓存的填满，这最终“可能会减缓或完全阻止授权用户访问网站或服务。”

HC3警告说，这些NXDOMAIN DDoS攻击可能对终端用户、网络提供商和网站所有者产生负面后果。这些攻击通常以网站和其他服务提供商为目标，旨在使其服务对合法客户不可用。

在正常营业时间内，接收到少量NXDOMAIN响应被视为常态，因为用户在输入网址时可能会出错或利用指向不存在的服务器的“死超链接”。但这些请求通常会被重定向到正确的服务器。

“DNS NXDOMAIN洪水式DDoS攻击很危险，因为它可能难以检测。许多DNS服务器管理员会误将减速视为性能问题，但实际上是对其DNS服务器的NXDOMAIN攻击。”NETSCOUT研究人员

HC3提示，网络防御者应关注针对合法域名下不存在主机名的大量DNS查询，以检测恶意NXDOMAIN攻击。警报还提供了一份攻击技术的清单，其中包括分布广泛的IP，可能伪造的源IP，以及由IPv4和IPv6中封装的UDP数据包组成的流量。网络防御者在屏蔽IP时应谨慎，因为这样可能会无意中阻止合法用户访问其公共服务。

NETSCOUT建议采取几项关键的缓解措施以减少影响，这些措施已包含在威胁分析中。相关单位应考虑实施DNS响应速率限制、为过载服务器的流量增加速率限制，以及对可疑域名和服务器进行黑洞路由或过滤。

如前所述，NXDOMAIN DDoS活动与Killnet黑客行动对医疗行业的持续目标相结合。今年一月份，超过90起此类攻击针对医疗服务提供者。尽管上个月攻击的频率有所下降，相关单位曾被警告 需要加强员工对其在线存在的教育，以应对数字身份所面临的高风险。