什么是 DNS 放大攻击？如何防护 DNS 放大攻击？

什么是DNS放大攻击？

这种DDoS攻击是基于反射的大规模分布式拒绝服务(DDoS)攻击，其中，攻击者使用开放DNS分析器的功能产生大量流量，使目标服务器或网络不堪重负，使服务器及其周围基础设施无法访问。

DNS放大攻击的工作原理是什么？

所有放大攻击都使用攻击者和目标Web资源之间的带宽消耗差异。当消耗差异被多次请求放大时，流量会导致网络基础设施中断。恶意用户可以通过发送小请求来实现大规模响应。当僵尸网络中的每个自动程序都发出类似的请求来加倍这种放大效果时，攻击者不仅可以避免检测，还可以获得增加攻击流量的好处。

在DNS在放大攻击中，其中一个机器人就像一个恶意的年轻人打电话给一家餐馆，说：我想点一切，请打电话给我，告诉我整个订单。当餐厅询问电话号码时，它提供了目标受害者的电话号码。然后目标将接到来自餐厅的电话，并提供大量未要求的信息。

因为每个自动程序都是开放的DNS在提出要求时，解析器提供欺骗性IP地址，即目标受害者的真实来源IP地址，目标随后收到DNS分析器的响应。攻击者会以某种方式构建请求，以产生大量的流量DNS分析器产生尽可能大的响应。因此，目标接收攻击者初始流量的放大结果，其网络被虚假流量堵塞，导致拒绝服务。

DNS放大可分为四个步骤：

使用受损端点的攻击者将具有欺骗性IP地址的UDP数据包发送到DNS递归服务器。数据包上的欺骗地址指向受害者的真实性IP地址。

每个UDP数据包都向DNS通常，解析器发出一个参数(例如ANY)尽可能接收最大响应。

DNS在收到要求后，分析师会作弊IP地址响应较大。

目标的IP地址接收响应，周边网络基础设施被大量流量淹没，导致拒绝服务。

尽管少量的要求不足以导致网络基础设施下线，但在这个过程中通过多个要求和DNS分析器翻倍后，目标最终接收的数据量变得非常大。进一步了解反射攻击的技术细节。

如何防护DNS放大攻击？

对于运营网站或服务的个人或公司来说，缓解的选择并不多。这是因为，虽然个人或公司的服务器可能是攻击目标，但它并不是容量耗尽攻击影响最大的地方。服务器周围的基础设施受到攻击产生的大量流量的影响。互联网服务提供商（ISP）或者其他上游基础设施提供商可能无法处理流量的传输。ISP对受害者有可能IP地址发送的所有流量都传输到黑洞路由，以保护自己，并将目标站点离线。除了大象微云网络DDoS除了远程保护服务外，缓解策略主要是预防性的互联网基础设施解决方案。

减少开放DNS分析器总数

DNS放大攻击的大攻击的重要组成部分DNS访问分析器的权限。如果互联网配置不当DNS那么攻击者只需要找到解析器DNS可以使用分析器。理想情况下，DNS分析器应该只为源自可信域名的设备提供服务。在基于反射的攻击中开放DNS从互联网的任何位置来看，解析器都会对查询做出反应，因此可以使用DNS分析器可以使服务器无法用于任何类型的放大攻击，只响应来自信任源的查询。

源IP验证-防止欺骗性数据包离开网络

由攻击者僵尸网络发送UDP请求必须伪造成受害者IP地址的源IP基于地址UDP互联网服务提供商是放大攻击，降低其有效性的关键（ISP）拒绝伪造IP地址的所有内部流量。如果从网络内部发送的数据包看起来像来自网络外部的源地址，则可能是伪造数据包并丢弃。微云网络强烈建议所有供应商进行入口过滤，并不时联系无意中参与DDoS攻击的ISP，帮助它了解自己的漏洞。

如何缓解DNS放大攻击？

防火墙配置正确，网络容量充足(不一定容易)，阻止等DNS放大等反射攻击会像反手一样容易。虽然攻击将是单一的IP地址，我们的Anycast网络将所有攻击流分散到不再具有破坏性的地步。微云网络它可以利用其规模优势将攻击力分散到许多数据中心，平衡负载，使服务永远不会中断，攻击永远不会导致目标服务器的基础设施过载。