DNS放大攻击是什么?如何防御DNS放大攻击?
DNS放大攻击是什么?
DNS放大攻击是需要基于大规模分布式拒绝服务DDOS攻击的,攻击者需要利用开放DNS解析器的功能去产生流量,使得目标服务器或网络不堪重负,直接导致服务器及其周围基础设施都无法访问。
DNS放大攻击的工作原理是怎样的?
大部分的流量攻击都是基于攻击者和目标web之间的带宽资源消耗差异来进行的。消耗差异经过多次的请求被放大之后,所产生的流量可直接导致网络基础设施中断。往往这类攻击,仅仅只需要多个小型的请求,即可达到洪流小伙。同一时间段,僵尸网络每个自动程序都发出这类请求时,就会使攻击效果加倍,攻击者不仅能直接躲避过检测,还能有效的收获攻击流量大增的好处。
由于每个自动程序给开放DNS解析器提出请求时都是具有欺骗性的IP地址,IP会收到来自DNS解析器的响应,产生的大流量会造成流量拥堵,造成拒绝服务的产生。
如何有效的防护DNS放大攻击?
鉴于攻击所产生的大量流量,服务器周围的基础设施也会因此受到影响。目前能有效防护DNS放大攻击的思路有三个:1、减少开放DNS解析器的总数;2、源IP验证,阻止欺骗性数据包离开网络;3、找专业的IDC企业制定安全防御策略。通常情况下,会建议寻找靠谱的IDC企业来做防护策略,可以更高效的防御住攻击。