DDoS攻擊是指通過(guò)僵尸網(wǎng)絡(luò)利用各種服務(wù)請(qǐng)求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，造成被攻擊網(wǎng)絡(luò)無(wú)法處理合法用戶的請(qǐng)求。針對(duì)DNS的DDoS攻擊應(yīng)對(duì)方法都有哪些呢？今天快快網(wǎng)絡(luò)小編給大家全面講解下什么是DDoS攻擊。

　　針對(duì)DNS的DDoS攻擊應(yīng)對(duì)方法

　　而針對(duì)DNS的DDoS攻擊又可按攻擊發(fā)起者和攻擊特征進(jìn)行分類：

　　1、按攻擊發(fā)起者分類 僵尸網(wǎng)絡(luò)：控制大批僵尸網(wǎng)絡(luò)利用真實(shí)DNS協(xié)議棧發(fā)起大量域名查詢請(qǐng)求 模擬工具：利用工具軟件偽造源IP發(fā)送海量DNS查詢

　　2、按攻擊特征分類 Flood攻擊：發(fā)送海量DNS查詢報(bào)文導(dǎo)致網(wǎng)絡(luò)帶寬耗盡而無(wú)法傳送正常DNS 查詢請(qǐng)求。

　　資源消耗攻擊：發(fā)送大量非法域名查詢報(bào)文引起DNS服務(wù)器持續(xù)進(jìn)行迭代查詢，從而達(dá)到較少的攻擊流量消耗大量服務(wù)器資源的目的。

　　處理辦法：

　　屏蔽未經(jīng)請(qǐng)求發(fā)送的DNS響應(yīng)信息

　　一個(gè)典型的DNS交換信息是由請(qǐng)求信息組成的。DNS解析器會(huì)將用戶的請(qǐng)求信息發(fā)送至DNS服務(wù)器中，在DNS服務(wù)器對(duì)查詢請(qǐng)求進(jìn)行處理之后，服務(wù)器會(huì)將響應(yīng)信息返回給DNS解析器。但值得注意的是，響應(yīng)信息是不會(huì)主動(dòng)發(fā)送的。

　　服務(wù)器在沒(méi)有接收到查詢請(qǐng)求之前，就已經(jīng)生成了對(duì)應(yīng)的響應(yīng)信息，回應(yīng)就被丟棄

　　丟棄快速重傳數(shù)據(jù)包。

　　1.即便是在數(shù)據(jù)包丟失的情況下，任何合法的DNS客戶端都不會(huì)在較短的時(shí)間間隔內(nèi)向同一DNS服務(wù)器發(fā)送相同的DNS查詢請(qǐng)求。

　　2.如果從相同IP地址發(fā)送至同一目標(biāo)地址的相同查詢請(qǐng)求發(fā)送頻率過(guò)高，這些請(qǐng)求數(shù)據(jù)包可丟棄。

　　啟用TTL

　　如果DNS服務(wù)器已經(jīng)將響應(yīng)信息成功發(fā)送了，應(yīng)該禁止服務(wù)器在較短的時(shí)間間隔內(nèi)對(duì)相同的查詢請(qǐng)求信息進(jìn)行響應(yīng)。

　　1.對(duì)于一個(gè)合法的DNS客戶端如果已經(jīng)接收到了響應(yīng)信息，就不會(huì)再次發(fā)送相同的查詢請(qǐng)求。

　　2.每一個(gè)響應(yīng)信息都應(yīng)進(jìn)行緩存處理直到TTL過(guò)期。

　　3.當(dāng)DNS服務(wù)器遭遇大量查詢請(qǐng)求時(shí)，可以屏蔽掉不需要的數(shù)據(jù)包。

　　丟棄未知來(lái)源的DNS查詢請(qǐng)求和響應(yīng)數(shù)據(jù)

　　通常情況下，攻擊者會(huì)利用腳本來(lái)對(duì)目標(biāo)進(jìn)行分布式拒絕服務(wù)攻擊（DDoS攻擊），而且這些腳本通常是有漏洞的。因此，在服務(wù)器中部署簡(jiǎn)單的匿名檢測(cè)機(jī)制，在某種程度上可以限制傳入服務(wù)器的數(shù)據(jù)包數(shù)量。

　　丟棄未經(jīng)請(qǐng)求或突發(fā)的DNS請(qǐng)求

　　這類請(qǐng)求信息很可能是由偽造的代理服務(wù)器所發(fā)送的，或是由于客戶端配置錯(cuò)誤或者是攻擊流量。所以無(wú)論是哪一種情況，都應(yīng)該直接丟棄這類數(shù)據(jù)包。

　　非泛洪攻擊 (non-flood) 時(shí)段，創(chuàng)建一個(gè)白名單，添加允許服務(wù)器處理的合法請(qǐng)求信息。白名單可以屏蔽掉非法的查詢請(qǐng)求信息以及此前從未見(jiàn)過(guò)的數(shù)據(jù)包。

　　這種方法能夠有效地保護(hù)服務(wù)器不受泛洪攻擊的威脅，也能保證合法的域名服務(wù)器只對(duì)合法的DNS查詢請(qǐng)求進(jìn)行處理和響應(yīng)。

　　啟動(dòng)DNS客戶端驗(yàn)證

　　偽造是DNS攻擊中常用的一種技術(shù)。如果設(shè)備可以啟動(dòng)客戶端驗(yàn)證信任狀，便可以用于從偽造泛洪數(shù)據(jù)中篩選出非泛洪數(shù)據(jù)包。

　　對(duì)響應(yīng)信息進(jìn)行緩存處理

　　如果某一查詢請(qǐng)求對(duì)應(yīng)的響應(yīng)信息已經(jīng)存在于服務(wù)器的DNS緩存之中，緩存可以直接對(duì)請(qǐng)求進(jìn)行處理。這樣可以有效地防止服務(wù)器因過(guò)載而發(fā)生宕機(jī)。

　　很多請(qǐng)求中包含了服務(wù)器不具有或不支持的信息，我們可以進(jìn)行簡(jiǎn)單的阻斷設(shè)置，例如外部IP地址請(qǐng)求區(qū)域轉(zhuǎn)換或碎片化數(shù)據(jù)包，直接將這類請(qǐng)求數(shù)據(jù)包丟棄。

　　利用ACL，BCP38，及IP信譽(yù)功能的使用

　　托管DNS服務(wù)器的任何企業(yè)都有用戶軌跡的限制，當(dāng)攻擊數(shù)據(jù)包被偽造，偽造請(qǐng)求來(lái)自世界各地的源地址。設(shè)置一個(gè)簡(jiǎn)單的過(guò)濾器可阻斷不需要的地理位置的IP地址請(qǐng)求或只允許在地理位置白名單內(nèi)的IP請(qǐng)求。

　　還有一種情況，某些偽造的數(shù)據(jù)包可能來(lái)自與內(nèi)部網(wǎng)絡(luò)地址，可以利用BCP38通過(guò)硬件過(guò)濾也可以清除異常來(lái)源地址的請(qǐng)求。

　　BCP38對(duì)于提供DNS解析的服務(wù)提供商也相當(dāng)有用，可以避免用戶向外發(fā)送攻擊或受到內(nèi)部地址請(qǐng)求的攻擊，過(guò)濾用戶并保證其數(shù)據(jù)傳輸。

　　提供余量帶寬

　　如果服務(wù)器日常需要處理的DNS通信量達(dá)到了X Gbps，請(qǐng)確保流量通道不止是日常的量，有一定的帶寬余量可以有利于處理大規(guī)模攻擊。

　　結(jié)語(yǔ)，目前針對(duì)DNS的攻擊已成為最嚴(yán)重的網(wǎng)絡(luò)威脅之一。目前越來(lái)越多的大型網(wǎng)站注重DNS保護(hù)這一塊。為保障網(wǎng)站安全，保障網(wǎng)站利益，選擇高防型的DNS為自己的域名進(jìn)行解析已經(jīng)迫在眉睫。

　　什么是DDoS攻擊？

　　分布式拒絕服務(wù)（DDoS：Distributed Denial of Service Attack）攻擊是通過(guò)大規(guī)模互聯(lián)網(wǎng)流量淹沒(méi)目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為，DDoS 攻擊利用多臺(tái)受損計(jì)算機(jī)系統(tǒng)作為攻擊流量來(lái)源以達(dá)到攻擊效果。利用的機(jī)器可以包括計(jì)算機(jī)，也可以包括其他聯(lián)網(wǎng)資源（如 IoT 設(shè)備）

　　攻擊者利用受控主機(jī)發(fā)送大量的網(wǎng)絡(luò)數(shù)據(jù)包，占滿攻擊目標(biāo)的帶寬，使得正常請(qǐng)求無(wú)法達(dá)到及時(shí)有效的響應(yīng)

　　DNS 響應(yīng)的數(shù)據(jù)包比查詢的數(shù)據(jù)包大，攻擊者發(fā)送的DNS查詢數(shù)據(jù)包大小一般為 60 字節(jié)左右，而查詢返回的數(shù)據(jù)包的大小通常在3000字節(jié)以上，因此放大倍數(shù)能達(dá)到50倍以上，放大效果驚人

　　主要通過(guò)對(duì)系統(tǒng)維護(hù)的連接資源進(jìn)行消耗，使其無(wú)法正常連接，以達(dá)到拒絕服務(wù)的目的，此類攻擊主要是因?yàn)門CP 安全性設(shè)計(jì)缺陷引起的

　　目標(biāo)計(jì)算機(jī)響應(yīng)每個(gè)連接請(qǐng)求，然后等待握手中的最后一步，但這一步確永遠(yuǎn)不會(huì)發(fā)生，因此在此過(guò)程中耗盡目標(biāo)的資源

　　消耗應(yīng)用資源攻擊通過(guò)向應(yīng)用提交大量消耗資源的請(qǐng)求，以達(dá)到拒絕服務(wù)的目的

　　這種類型的攻擊較簡(jiǎn)單的實(shí)現(xiàn)可以使用相同范圍的攻擊 IP 地址、referrer 和用戶代理訪問(wèn)一個(gè) URL；復(fù)雜版本可能使用大量攻擊性 IP 地址，并使用隨機(jī) referrer 和用戶代理來(lái)針對(duì)隨機(jī)網(wǎng)址

　　LOTC是一個(gè)最受歡迎的DOS攻擊工具。 這個(gè)工具曾經(jīng)被流行的黑客集團(tuán)匿名者用于對(duì)許多大公司的網(wǎng)絡(luò)攻擊

　　它可以通過(guò)使用單個(gè)用戶執(zhí)行 DOS 攻擊小型服務(wù)器，工具非常易于使用，即便你是一個(gè)初學(xué)者。 這個(gè)工具執(zhí)行DOS攻擊通過(guò)發(fā)送UDP，TCP或HTTP請(qǐng)求到受害者服務(wù)器。你只需要知道服務(wù)器的IP地址或URL，其他的就交給這個(gè)工具吧

　　XOIC是另一個(gè)不錯(cuò)的DOS攻擊工具。它根據(jù)用戶選擇的端口與協(xié)議執(zhí)行DOS攻擊任何服務(wù)器。XOIC開(kāi)發(fā)者還聲稱XOIC比LOIC在很多方面更強(qiáng)大

　　一般來(lái)說(shuō),該工具有三種攻擊模式,第一個(gè)被稱為測(cè)試模式，是非常基本的； 第二個(gè)是正常的DOS攻擊模式； 最后一個(gè)是帶有HTTP / TCP / UDP / ICMP消息的DOS攻擊模式

　　對(duì)付小型網(wǎng)站來(lái)說(shuō)，這是一個(gè)很有效的DDOS工具, 但是從來(lái)沒(méi)有嘗試的要小心點(diǎn)，你可能最終會(huì)撞自己的網(wǎng)站的服務(wù)器

　　DDOS攻擊之DNS放大攻擊

　　此DDoS攻擊是基于反射的體積分布式拒絕服務(wù)（DDoS）攻擊，其中攻擊者利用開(kāi)放式DNS解析器的功能，以便使用更大量的流量壓倒目標(biāo) 服務(wù)器 或網(wǎng)絡(luò)，從而呈現(xiàn)服務(wù)器和它周圍的基礎(chǔ)設(shè)施無(wú)法進(jìn)入。

　　所有放大攻擊都利用了攻擊者和目標(biāo)Web資源之間的帶寬消耗差異。當(dāng)在許多請(qǐng)求中放大成本差異時(shí)，由此產(chǎn)生的流量可能會(huì)破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施。通過(guò)發(fā)送導(dǎo)致大量響應(yīng)的小查詢，惡意用戶可以從更少的內(nèi)容獲得更多。由具有在每個(gè)機(jī)器人這個(gè)倍數(shù)乘以僵尸網(wǎng)絡(luò)進(jìn)行類似的請(qǐng)求，攻擊者是從檢測(cè)既混淆和收獲大大提高了攻擊流量的好處。

　　DNS放大攻擊中的一個(gè)機(jī)器人可以被認(rèn)為是一個(gè)惡意的少年打電話給餐館并說(shuō)“我將擁有一切，請(qǐng)給我回電話并告訴我整個(gè)訂單。”當(dāng)餐廳要求時(shí)一個(gè)回叫號(hào)碼，給出的號(hào)碼是目標(biāo)受害者的電話號(hào)碼。然后，目標(biāo)接收來(lái)自餐館的電話，其中包含許多他們未請(qǐng)求的信息。

　　由于每個(gè)機(jī)器人都要求使用欺騙性IP地址打開(kāi)DNS解析器，該IP地址已更改為目標(biāo)受害者的真實(shí)源IP地址，然后目標(biāo)會(huì)從DNS解析器接收響應(yīng)。為了創(chuàng)建大量流量，攻擊者以盡可能從DNS解析器生成響應(yīng)的方式構(gòu)造請(qǐng)求。結(jié)果，目標(biāo)接收到攻擊者初始流量的放大，并且他們的網(wǎng)絡(luò)被虛假流量阻塞，導(dǎo)致拒絕服務(wù)。

　　攻擊者使用受損端點(diǎn)將帶有欺騙性IP地址的UDP數(shù)據(jù)包發(fā)送到DNS recursor。數(shù)據(jù)包上的欺騙地址指向受害者的真實(shí)IP地址。每個(gè)UDP數(shù)據(jù)包都向DNS解析器發(fā)出請(qǐng)求，通常會(huì)傳遞諸如“ANY”之類的參數(shù)，以便接收可能的最大響應(yīng)。

　　在收到請(qǐng)求后，嘗試通過(guò)響應(yīng)提供幫助的DNS解析器會(huì)向欺騙的IP地址發(fā)送大量響應(yīng)。目標(biāo)的IP地址接收響應(yīng)，周圍的網(wǎng)絡(luò)基礎(chǔ)設(shè)施因流量泛濫而變得 不堪重負(fù) ，導(dǎo)致拒絕服務(wù)。

　　雖然一些請(qǐng)求不足以取消網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但當(dāng)此序列在多個(gè)請(qǐng)求和DNS解析器之間成倍增加時(shí)，目標(biāo)接收的數(shù)據(jù)放大可能很大。探索有關(guān)反射攻擊的更多技術(shù)細(xì)節(jié)。

　　對(duì)于運(yùn)營(yíng)網(wǎng)站或服務(wù)的個(gè)人或公司，緩解選項(xiàng)是有限的。這是因?yàn)閭€(gè)人的服務(wù)器雖然可能是目標(biāo)，但卻不會(huì)感受到體積攻擊的主要影響。由于產(chǎn)生了大量流量，服務(wù)器周圍的基礎(chǔ)設(shè)施會(huì)產(chǎn)生影響。Internet服務(wù)提供商（ISP）或其他上游基礎(chǔ)架構(gòu)提供商可能無(wú)法處理傳入流量而不會(huì)變得不堪重負(fù)。因此，ISP可能將所有流量黑洞到目標(biāo)受害者的IP地址，保護(hù)自己并使目標(biāo)站點(diǎn)脫機(jī)。除Cloudflare DDoS保護(hù)等非現(xiàn)場(chǎng)保護(hù)服務(wù)外，緩解策略主要是預(yù)防性互聯(lián)網(wǎng)基礎(chǔ)設(shè)施解決方案。

　　DNS放大攻擊的一個(gè)重要組成部分是訪問(wèn)開(kāi)放式DNS解析器。通過(guò)將配置不當(dāng)?shù)腄NS解析器暴露給Internet，攻擊者需要做的就是利用DNS解析器來(lái)發(fā)現(xiàn)它。理想情況下，DNS解析器應(yīng)僅向源自受信任域的設(shè)備提供其服務(wù)。在基于反射的攻擊的情況下，開(kāi)放的DNS解析器將響應(yīng)來(lái)自Internet上任何地方的查詢，從而允許利用漏洞。限制DNS解析器以使其僅響應(yīng)來(lái)自可信源的查詢使得服務(wù)器成為任何類型的放大攻擊的不良工具。

　　由于攻擊者僵尸網(wǎng)絡(luò)發(fā)送的UDP請(qǐng)求必須具有欺騙受害者IP地址的源IP地址，因此降低基于UDP的放大攻擊有效性的關(guān)鍵組件是Internet服務(wù)提供商（ISP）拒絕任何內(nèi)部流量欺騙的IP地址。如果從網(wǎng)絡(luò)內(nèi)部發(fā)送一個(gè)數(shù)據(jù)包，其源地址使其看起來(lái)像是在網(wǎng)絡(luò)外部發(fā)起的，那么它可能是一個(gè)欺騙性數(shù)據(jù)包，可以被丟棄。Cloudflare強(qiáng)烈建議所有提供商實(shí)施入口過(guò)濾，有時(shí)會(huì)聯(lián)系那些 不知不覺(jué) 地參與DDoS攻擊并幫助他們實(shí)現(xiàn)漏洞的ISP。

　　針對(duì)DNS的DDoS攻擊應(yīng)對(duì)方法小編已經(jīng)給大家整理好了，高防DNS擁有較高的帶寬或者是彈性帶寬，能夠輕松應(yīng)對(duì)DDoS攻擊，高防DNS通常都具備健康監(jiān)測(cè)能力，可以對(duì)服務(wù)器的健康狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，保障網(wǎng)站服務(wù)器的正常運(yùn)行。