Entry № 372
DNS 放大攻击
DNS 放大攻击 是什么?
DNS 放大攻击通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
DNS 放大攻击中,攻击者将源 IP 伪造为受害者地址,向大量开放或配置不当的递归解析器发送 UDP DNS 查询(通常是 ANY、TXT 或 DNSSEC 等会产生大响应的记录)。解析器随后向受害者回送远大于查询的 DNS 响应,放大倍数常超过 50 倍。聚合后的流量可以塞满受害者的接入链路或上游网络。缓解手段包括关闭或限制开放解析器、启用响应速率限制(RRL)、在网络边缘实施源地址验证(BCP 38)、采用 Anycast DNS 与清洗服务,并在条件允许时避免过大的 EDNS / DNSSEC 响应。
● 示例
- 01
攻击者向数千个开放解析器发送 ANY 查询,每个极小查询触发几 KB 大小的响应涌向受害者。
- 02
源于 Mirai 的僵尸网络利用作为开放递归器的家用 CPE,发动数百 Gbps 的 DNS 放大攻击。
● 常见问题
DNS 放大攻击 是什么?
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。 它属于网络安全的 攻击与威胁 分类。
DNS 放大攻击 是什么意思?
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
如何防御 DNS 放大攻击?
针对 DNS 放大攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。