DNS放大攻擊(DNS amplification attacks),是使用第三方的欺騙性數(shù)據(jù)包發(fā)送查詢請(qǐng)求�,直到耗盡受害網(wǎng)站的全部帶寬,從而達(dá)到使該網(wǎng)站無(wú)法訪問(wèn)的目的�����。這種類型的DNS攻擊越來(lái)越被經(jīng)常使用��,而且效果很明顯���,因此而受害的網(wǎng)站數(shù)不勝數(shù)。
由于DNS查詢請(qǐng)求通常為無(wú)連接的UDP類型����,所以攻擊者只要使用1G的偽造源地址DNS查詢流量,理論上就可能獲得超過(guò)50G 的UDP流量,并且可以控制其流向?qū)б焦裟繕?biāo)�����。如果控制每臺(tái)DNS只產(chǎn)生30M的應(yīng)答攻擊流量�����,那么只需要1萬(wàn)臺(tái)就可以達(dá)到300G DDoS流量攻擊的效果���。300G DDOS的流量足以讓一個(gè)機(jī)房宕機(jī)��,可見(jiàn)這種攻擊的可怕性���。
因?yàn)樾Ч@著,DNS放大攻擊也越來(lái)越頻繁出現(xiàn)��,以致不少網(wǎng)站深受其害�����,遭受無(wú)數(shù)的損失����。那么這種DNS應(yīng)該怎樣去防范呢?小編與大家分享一下本人的經(jīng)驗(yàn)。
解決措施一:保證足夠帶寬
既然是流量攻擊����,那么首先我們就要保證網(wǎng)站有足夠的帶寬讓這些流量通過(guò)。購(gòu)買帶寬所需要的花費(fèi)不少�。其實(shí)目前有很多DNS提供高防服務(wù)。他們本身有機(jī)房保障帶寬���,能防御大流量攻擊�����,這樣就算網(wǎng)站使用一般帶寬�,當(dāng)有攻擊時(shí)���,這些流量就必須由DNS服務(wù)商來(lái)承受���,使網(wǎng)站減少不必要的花費(fèi)。目前提供高防DNS的服務(wù)商有群英網(wǎng)絡(luò)的QYDNS��,他們有高防機(jī)房做后盾���,抵御攻擊能力也是很強(qiáng)的。
解決措施二:識(shí)別過(guò)濾攻擊
雖然這種欺騙性的攻擊比較難識(shí)別,但是當(dāng)攻擊出現(xiàn)時(shí)�,機(jī)房還是能夠及時(shí)的反應(yīng),這說(shuō)明將欺騙查詢識(shí)別出來(lái)并攔截過(guò)濾是有可能的���。要識(shí)別這種攻擊�����,你要查看包含DNS回復(fù)的大量通訊(源UDP端口53)���,特別是要查看那些擁有大量DNS記錄的端口。一些DNS服務(wù)商已經(jīng)在其整個(gè)網(wǎng)絡(luò)上部署了傳感器以便檢測(cè)各種類型的早期大量通訊����,這樣就能及時(shí)發(fā)現(xiàn)并避免攻擊。所以還是要選擇有防御功能的DNS.群英網(wǎng)絡(luò)的QYDNS在這方面就做的不錯(cuò)���,它的高防技術(shù)在全國(guó)都是領(lǐng)先的�����。
解決措施三:避免成為幫兇
既然DNS攻擊是利用第三方的欺騙數(shù)據(jù)包發(fā)送查詢請(qǐng)求����,那么你的DNS服務(wù)器也可能成為幫兇,所以要確保你的dns服務(wù)器只為你自己的網(wǎng)絡(luò)執(zhí)行循環(huán)查詢��,不為任何互聯(lián)網(wǎng)上的地址進(jìn)行這種查詢�����。選擇具有這種功能的DNS服務(wù)���,既能保證自己的網(wǎng)站安全����,又能為整個(gè)網(wǎng)絡(luò)環(huán)境安全做貢獻(xiàn)���。
總之���,目前防范DNS放大攻擊,最有效最實(shí)惠的措施就是選擇一家有實(shí)力的高防DNS���,讓他們?yōu)槟愕钟切⿶阂夤�,省心省力��。至于什么高防DNS比較好�,個(gè)人有個(gè)人的使用心得���,本人建議可以使用群英網(wǎng)絡(luò)的QYDNS�,畢竟人家的高防機(jī)房真的很牛,防得住���。
