DNS Query Flood攻击和防御

91dns · 发表于 2017-1-9 11:56:47

DNS Query Flood

作为互联网最基础、最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的黑客组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。

UDP攻击是最容易发起海量流量的攻击手段，而且源IP随机伪造难以追查。但过滤比较容易，因为大多数IP并不提供UDP服务，直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了，取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说，越上层协议上发动的DDoS攻击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越复杂。

DNS Query Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多地消耗DNS服务器的CPU资源。
DNS Flood防御

DNS攻击防御也有类似HTTP的防御手段，第一方案是缓存。其次是重发，可以是直接丢弃DNS报文导致UDP层面的请求重发，可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。

特殊的，对于授权域DNS的保护，设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用，在攻击时，非此列表的请求一律丢弃，大幅降低性能压力。对于域名，实行同样的域名白名单机制，非白名单中的域名解析请求，做丢弃处理。

91dns · 发表于 2017-1-12 10:00:03

111111111111111111111111111111111111111111111111111

91dns · 发表于 2017-1-13 10:04:19

8888888888888888888888888888888888888888888888

91dns · 发表于 2017-1-14 09:56:26

:(:(:(:(:(:(:(:(

91dns · 发表于 2017-1-16 10:30:11

6666666666666666666666666666

91dns · 发表于 2017-1-17 10:37:15

66666666666666666666666666666666666666666666666

91dns · 发表于 2017-1-19 11:43:57

76566778998707433657666666666666666666666

91dns · 发表于 2017-1-20 11:14:54

35656666666666666666666648777777777777777777777546

91dns · 发表于 2017-1-22 11:04:30

:dizzy::dizzy::dizzy:

91dns · 发表于 2017-1-23 13:48:06

:lol:lol:lol:lol:lol:lol:lol:lol:lol

		自动登录	找回密码
密码			立即注册