DNS放大攻击的工作原理以及防御措施？

DDOS分布式拒绝服务主要针对目标系统的恶意网络攻击，导致被攻击者的业务无法正常访问。我相信你们站长DDOS已经是耳熟能详、倒背如流的境界，但对于不与网络相关的人员或部分企业网站运维人员来说，可能无法区分DDOS攻击类型。

DNS放大攻击的操作流程和防御措施

DNS放大攻击与NTP放大攻击是相似的，但相比之下NTP放大频率DNS放大频率更高。一般攻击者会将僵尸网络中的被控主机伪装成被攻击主机，然后将其设置为特定的时间点，并连续向多个允许递归查询DNS大量服务器发送DNS服务请求，然后让其提供应答服务，应答数据经DNS将服务器放大后发送到攻击主机，形成大量流量攻击，耗尽服务器资源，使其无法提供正常服务，甚至瘫痪。

DNS放大攻击工作原理：

DNS放大是一种分布式拒绝服务(DDoS)攻击，攻击者使用域名系统(DNS)服务器中的漏洞将最初的小查询变成更大的负载，以破坏受害者的服务器。DNS放大是一种反射攻击，通过操作可以公开访问域名系统，大量使用UDP包淹没了一个特定的目标。利用各种放大技术，攻击者可以放大UDP包的规模使攻击强大，甚至破坏最强大的互联网基础设施。

DNS放大是不对称的DDoS其中，攻击者向外发出虚假目标IP较小的查询请求使被欺骗的目标更大DNS响应接收者。利用这些攻击，攻击者可以通过持续消耗带宽容量来实现网络饱和。

你需要确保你的手能和你在一起ISP随时获取联系的应急电话号码。这样，一旦发生这种攻击，你就可以立即跟随ISP联系，让他们过滤掉上游的攻击。要识别这种攻击，你必须检查它包含了什么DNS大量回复通信(源UDP端口53)，尤其是那些有很多的人DNS记录端口ISP传感器已部署在其整个网络上，以检测各种早期通信类型。所以，你的ISP在你发现这种攻击之前，很可能会发现并避免它。

最后，为了防止恶意人员使用你的DNS实施服务器DNS放大攻击代理，你必须确保你能从外部访问DNS服务器只为自己的网络进行循环查询，不为互联网上的任何地址进行此类查询。大多数都是主要的DNS服务器有限制循环查询的能力，所以它们只接受一些网络查询，比如你自己的网络。防止循环查询装载大型有害物质DNS记录，你可以防止你DNS服务器成为这个问题的一部分。

DNS防御措施放大攻击：

1.正确配置防火墙和网络容量；

2.增加链路带宽；

3.限制DNS分析器只响应可信源的查询或关闭DNS递归查询服务器；

4.使用DDoS防御产品，过滤清理入口异常访问请求，然后将正常访问请求分发给服务器进行业务处理。

最近，一些金融小企业用户告诉微云网络DDoS攻击，因此建议这些客户调查他们的网络基础设施的各个方面，并安装最新的补丁。检查服务器各协议的配置，禁止可能被攻击工具使用的服务。提前做好保护工作，以避免潜在的危险。