Cloudflare：什么是 DNS 洪水？

什么是 DNS 洪水？

域名系統(tǒng) (DNS) 服務(wù)器是 Internet 的“電話簿”；它們是 Internet 設(shè)備查找特定 Web 服務(wù)器以訪問 Internet 內(nèi)容的途徑。DNS 洪水是分布式拒絕服務(wù)攻擊 (DDoS) 的一種，攻擊者對(duì)特定域的 DNS 服務(wù)器發(fā)起流量洪水，以圖破壞該域的 DNS 解析。如果用戶找不到電話簿，則它將無法查找地址以調(diào)用特定資源。通過破壞 DNS 解析，DNS 洪水攻擊將損害網(wǎng)站、API 或 Web 應(yīng)用程序?qū)戏髁康捻憫?yīng)能力。DNS 洪水攻擊可能很難與正常的繁忙流量區(qū)分開來，因?yàn)榇罅苛髁客ǔ碜远鄠€(gè)位置，它們查詢域中的真實(shí)記錄，完全模仿合法流量。

DNS 洪水攻擊的工作原理

域名系統(tǒng)的功能是在易于記憶的名稱（例如 example.com）和難以記憶的網(wǎng)站服務(wù)器地址（例如 192.168.0.1）之間進(jìn)行轉(zhuǎn)換，因此成功攻擊 DNS 基礎(chǔ)設(shè)施會(huì)使大多數(shù)人無法使用 Internet。DNS 洪水攻擊構(gòu)成了一種相對(duì)新型的基于 DNS 的攻擊，隨著高帶寬物聯(lián)網(wǎng) (IoT) 僵尸網(wǎng)絡(luò)（如 Mirai）的興起而激增。DNS 洪水攻擊使用 IP 攝像頭、 DVR 盒和其他 IoT 設(shè)備的高帶寬連接來直接淹沒主要提供商的 DNS 服務(wù)器。來自物聯(lián)網(wǎng)設(shè)備的請(qǐng)求數(shù)量使 DNS 提供商的服務(wù)不堪重負(fù)，并阻止合法用戶訪問提供商的 DNS 服務(wù)器。

DNS 洪水攻擊與 DNS 放大攻擊不同。DNS 放大攻擊會(huì)反射和放大來自不安全的 DNS 服務(wù)器的流量，以隱藏攻擊的來源并提高其有效性。DNS 放大攻擊使用帶寬連接較小的設(shè)備向不安全的 DNS 服務(wù)器發(fā)出大量請(qǐng)求。設(shè)備發(fā)出許多較小的請(qǐng)求，形成非常大的 DNS 記錄，但是在發(fā)出請(qǐng)求時(shí)，攻擊者將返回地址偽造為預(yù)期受害者的地址。放大使攻擊者使用有限的攻擊資源即可破壞更大的目標(biāo)。

如何防護(hù) DNS 洪水攻擊？

DNS 洪水是傳統(tǒng)上基于放大的攻擊方法的變更結(jié)果。借助易于訪問的高帶寬僵尸網(wǎng)絡(luò)，攻擊者現(xiàn)在可以針對(duì)大型組織發(fā)起攻擊。在可以更新或更換受損的 IoT 設(shè)備之前，抵御這些攻擊的唯一方法是使用大型、高度分散的 DNS 系統(tǒng)，以實(shí)時(shí)監(jiān)視、吸收和阻止攻擊流量。