DNS放大攻擊(DNS amplification attacks)��,是使用第三方的欺騙性數(shù)據(jù)包發(fā)送查詢請求����,直到耗盡受害網(wǎng)站的全部帶寬�,從而達到使該網(wǎng)站無法訪問的目的。這種類型的DNS攻擊越來越被經(jīng)常使用�����,而且效果很明顯���,因此而受害的網(wǎng)站數(shù)不勝數(shù)���。
由于DNS查詢請求通常為無連接的UDP類型,所以攻擊者只要使用1G的偽造源地址DNS查詢流量�����,理論上就可能獲得超過50G 的UDP流量�����,并且可以控制其流向?qū)б焦裟繕恕H绻刂泼颗_DNS只產(chǎn)生30M的應答攻擊流量���,那么只需要1萬臺就可以達到300G DDoS流量攻擊的效果�����。300G DDOS的流量足以讓一個機房宕機����,可見這種攻擊的可怕性����。
因為效果顯著,DNS放大攻擊也越來越頻繁出現(xiàn)���,以致不少網(wǎng)站深受其害��,遭受無數(shù)的損失。那么這種DNS應該怎樣去防范呢�����?小編與大家分享一下本人的經(jīng)驗。
解決措施一:保證足夠帶寬
既然是流量攻擊�����,那么首先我們就要保證網(wǎng)站有足夠的帶寬讓這些流量通過����。購買帶寬所需要的花費不少。其實目前有很多DNS提供高防服務���。他們本身有機房保障帶寬�����,能防御大流量攻擊���,這樣就算網(wǎng)站使用一般帶寬,當有攻擊時���,這些流量就必須由DNS服務商來承受�,使網(wǎng)站減少不必要的花費��。目前提供高防DNS的服務商有群英網(wǎng)絡的QYDNS���,他們有高防機房做后盾����,抵御攻擊能力也是很強的。
解決措施二:識別過濾攻擊
雖然這種欺騙性的攻擊比較難識別���,但是當攻擊出現(xiàn)時��,機房還是能夠及時的反應�����,這說明將欺騙查詢識別出來并攔截過濾是有可能的��。要識別這種攻擊����,你要查看包含DNS回復的大量通訊(源UDP端口53)�����,特別是要查看那些擁有大量DNS記錄的端口�����。一些DNS服務商已經(jīng)在其整個網(wǎng)絡上部署了傳感器以便檢測各種類型的早期大量通訊����,這樣就能及時發(fā)現(xiàn)并避免攻擊。所以還是要選擇有防御功能的DNS.群英網(wǎng)絡的QYDNS在這方面就做的不錯��,它的高防技術在全國都是領先的��。
解決措施三:避免成為幫兇
既然DNS攻擊是利用第三方的欺騙數(shù)據(jù)包發(fā)送查詢請求�,那么你的DNS服務器也可能成為幫兇,所以要確保你的dns服務器只為你自己的網(wǎng)絡執(zhí)行循環(huán)查詢����,不為任何互聯(lián)網(wǎng)上的地址進行這種查詢。選擇具有這種功能的DNS服務��,既能保證自己的網(wǎng)站安全�,又能為整個網(wǎng)絡環(huán)境安全做貢獻。
總之��,目前防范DNS放大攻擊�,最有效最實惠的措施就是選擇一家有實力的高防DNS,讓他們?yōu)槟愕钟切⿶阂夤�����,省心省力。至于什么高防DNS比較好�,個人有個人的使用心得,本人建議可以使用群英網(wǎng)絡的QYDNS����,畢竟人家的高防機房真的很牛,防得住�����。
