什麼是 DNS 放大攻擊？

DNS 放大是一種分散式阻斷服務 (DDoS) 攻擊，攻擊者利用 DNS （網域名稱系統）伺服器中的漏洞將最初的小查詢轉變為更大的傳輸有效負載，用於「摧毀」受害者的伺服器。

DNS 放大是一種反射攻擊，它操縱可公開存取的 DNS，使其成為大量 UDP 封包的目標。犯罪者可以使用各種技術「誇大」這些 UDP 資料包的大小，使攻擊變得如此強大，甚至可以破壞最強大的網路基礎設施。

攻擊描述

DNS 放大與其他放大攻擊一樣，是反射攻擊的一種。在這種情況下，鏡像是透過引發 DNS 解析器對欺騙性 IP 位址的回應來實現的。

在 DNS 放大攻擊中，犯罪者將帶有欺騙性 IP 位址（受害者的）的 DNS 查詢傳送到開放的 DNS 解析器，使其使用 DNS 回應來回應該位址。由於發送了許多虛假查詢並且多個 DNS 解析器同時回复，受害者的網路很容易被不受控制的 DNS 響應數量「淹沒」。

反擊如果放大的話就更加危險。這裡的「放大」是指伺服器回應與發送的原始資料包請求不成比例。

若要放大這樣的 DNS 攻擊，可以使用允許大型 DNS 訊息的 DNS 擴充協定 EDNS0 來傳送每個 DNS 請求，或使用 DNSSEC（DNS 安全擴充）的加密功能來增加訊息的大小。也可以使用「ANY」類型的偽造查詢，該查詢在單一請求中傳回有關 DNS 區域的所有已知資訊。

透過這些和其他方法，可以將大小約為 60 位元組的 DNS 請求訊息配置為向目標伺服器發送超過 4000 位元組的回應訊息 - 從而導致放大係數為 70：first。這會顯著增加目標伺服器接收的流量並增加伺服器資源耗盡的速度。

此外，DNS 放大攻擊通常透過一個或多個殭屍網路轉送 DNS 請求-顯著增加到目標伺服器的直接流量，並使監控攻擊者的個性變得更加困難。

什麼是 DNS 放大攻擊？

DNS 放大是一種分散式阻斷服務 (DDoS) 攻擊

什麼是應用層攻擊？

減輕 DNS 放大攻擊影響的方法

防止或最大程度減少 DNS 放大攻擊影響的常見方法包括加強 DNS 伺服器安全性、阻止特定 DNS 伺服器或所有遞歸中繼伺服器以及速率限制。

然而，這些方法並不能消除攻擊來源，也不能減少網路負載以及名稱伺服器和開放遞歸伺服器之間的切換。此外，阻止來自開放遞歸伺服器的所有流量可能會阻礙合法的 DNS 通訊嘗試。例如，一些組織維護開放的遞歸伺服器，以便使用行動裝置工作的員工可以從「可信任」名稱伺服器進行解析。阻止來自這些伺服器的流量可能會阻礙他們的訪問。

如何防止 DNS 放大攻擊

那麼，您可以採取哪些措施來防止您的組織成為 DNS 放大攻擊的受害者呢？

保持解析器的私密性和受保護

如果您操作自己的解析器，則該解析器的使用應僅限於網路上的用戶，以幫助防止其快取被組織外部的駭客污染。無法向外部使用者開放。

將其配置為盡可能安全，以防止快取被惡意軟體感染。 DNS 軟體中內建的防止快取感染的保護措施包括對傳出請求進行更改，以使駭客更難接收虛假回應。可以採取的方法包括：