问dns反射攻击与dns放大攻击

EN

我为一家开发DDoS缓解和web应用程序防火墙服务的公司工作。

DNS放大是一种分布式拒绝服务(DDoS)攻击，攻击者利用域名系统(DNS)服务器中的漏洞将最初的小查询转化为更大的有效负载，用于摧毁受害者的服务器。

DNS放大是一种反射攻击，它操纵公开可访问的域名系统，使其大量的UDP数据包淹没目标。利用各种放大技术，肇事者可以“膨胀”这些UDP数据包的大小，使攻击的威力甚至可以摧毁最强大的互联网基础设施。

DNS放大和其他放大攻击一样，是一种反射攻击。在这种情况下，反射是通过将DNS解析器的响应激发到伪造的IP地址来实现的。

在DNS放大攻击期间，行为人向打开的DNS解析器发送带有伪造IP地址(受害者的IP地址)的DNS查询，提示它使用DNS响应回复该地址。由于发送了大量的假查询，并且有几个DNS解析器同时回复，受害者的网络很容易被DNS响应的数量所淹没。

为了扩大DNS攻击，可以使用EDNS0 DNS协议扩展发送每个DNS请求，该扩展允许大DNS消息，或者使用DNS安全扩展(DNSSEC)的加密特性来增加消息大小。还可以使用类型为“ANY”的欺骗查询，该查询在单个请求中返回有关DNS区域的所有已知信息。

通过这些和其他方法，大约60字节的DNS请求消息可以被配置为向目标服务器发出超过4000字节的响应消息，从而产生70:1的放大因子。这显着地增加了目标服务器接收到的通信量，并加快了服务器资源耗尽的速度。

此外，DNS放大攻击通常通过一个或多个僵尸网络转发DNS请求--大大增加了指向目标服务器或服务器的通信量，使跟踪攻击者的身份变得更加困难。

我的公司提供各种解决方案，以保护自己免受DNS攻击。请阅读有关如何减轻此类攻击的更多信息：https://www.incapsula.com/ddos/attack-glossary/dns-amplification.html