DNS放大攻击的工作原理以及防御措施？

DDOS分布式拒绝服务，主要是针对目标系统的恶意网络攻击行为，导致被攻击者的业务无法正常访问。相信各位站长对于DDOS已经是耳熟能详，倒背如流了的境界了，但是对于不和网络相关工作的人员或者是一些企业网站运维人员就不见得可以分辨出DDOS的攻击类型。

DNS放大攻击的操作流程以及防御措施

DNS放大攻击与NTP放大攻击是相似的，但相比NTP放大频率DNS放大频率更高。一般攻击者会利用僵尸网络中的被控主机伪装成被攻击主机，然后设置成特定的时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求，然后让其提供应答服务，应答数据经DNS服务器放大后发送到被攻击主机，形成大量的流量攻击，耗尽服务器的资源，导致其无法提供正常服务甚至瘫痪。

DNS放大攻击工作原理：

DNS放大是一种分布式拒绝服务 (DDoS) 攻击，其中，攻击者利用域名系统 (DNS) 服务器中的漏洞，将最初很小的查询变成较大的负载，达到其破坏受害者服务器的目的。 DNS 放大是一种反射攻击，它通过操纵可公开访问域名系统，用大量UDP包淹没一个特定目标。利用各种放大技术，攻击者可”放大”这些UDP包的规模，使攻击变得强大，甚至可以破坏最强大的互联网基础设施。

DNS放大是一种非对称的 DDoS攻击，其中，攻击者向外发出带有虚假目标IP的较小的查询请求，使得被欺骗目标成为更大DNS响应的接收者。利用这些攻击，攻击者达到其目的：通过持续消耗带宽容量而使网络饱和。

你需要保证手边有能够与你的ISP随时取得联系的应急电话号码。这样，一旦发生这种攻击，你可以马上与ISP联系，让他们在上游过滤掉这种攻击。要识别这种攻击，你要查看包含DNS回复的大量通讯(源UDP端口53)，特别是要查看那些拥有大量DNS记录的端口。一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。这样，你的ISP很可能在你发现这种攻击之前就发现和避免了这种攻击。

最后，为了阻止恶意人员使用你的DNS服务器作为实施DNS放大攻击的代理，你要保证你可以从外部访问的DNS服务器仅为你自己的网络执行循环查询，不为任何互联网上的地址进行这种查询。大多数主要DNS服务器拥有限制循环查询的能力，因此，它们仅接受某些网络的查询，比如你自己的网络。通过阻止利用循环查询装载大型有害的DNS记录，你就可以防止你的DNS服务器成为这个问题的一部分。

DNS放大攻击的防御措施：

1.正确配置防火墙和网络容量；

2.增大链路带宽；

3.限制DNS解析器仅响应来自可信源的查询或者关闭DNS服务器的递归查询；

4.使用DDoS防御产品，将入口异常访问请求进行过滤清洗，然后将正常的访问请求分发给服务器进行业务处理。

最近金融方面的一些小型企业用户对天下数据反映说遭到了DDoS攻击，因此建议这类客户对自己的网络基础设施进行全方面的排查，安装最新补丁。对服务器各个协议的配置进行排查，禁用可能会被攻击工具利用的服务。提前做好防护，避免潜在危险。

【免责声明】：部分内容、图片来源于互联网，如有侵权请联系删除，QQ：228866015