攻击与威胁
DNS 放大攻击
定义
通过开放 DNS 解析器实施的反射型 DDoS 攻击:攻击者用伪造的受害者 IP 发送小型 DNS 查询,使解析器向受害者返回大型响应。
DNS 放大攻击中,攻击者将源 IP 伪造为受害者地址,向大量开放或配置不当的递归解析器发送 UDP DNS 查询(通常是 ANY、TXT 或 DNSSEC 等会产生大响应的记录)。解析器随后向受害者回送远大于查询的 DNS 响应,放大倍数常超过 50 倍。聚合后的流量可以塞满受害者的接入链路或上游网络。缓解手段包括关闭或限制开放解析器、启用响应速率限制(RRL)、在网络边缘实施源地址验证(BCP 38)、采用 Anycast DNS 与清洗服务,并在条件允许时避免过大的 EDNS / DNSSEC 响应。
示例
- 攻击者向数千个开放解析器发送 ANY 查询,每个极小查询触发几 KB 大小的响应涌向受害者。
- 源于 Mirai 的僵尸网络利用作为开放递归器的家用 CPE,发动数百 Gbps 的 DNS 放大攻击。
相关术语
DDoS 放大攻击
利用 UDP 服务对伪造请求返回远大于请求的应答,使小规模攻击者也能制造巨大的洪水流量的 DDoS 技术。
分布式拒绝服务攻击 (DDoS)
由大量分布式来源同时发起的拒绝服务攻击,通常借助僵尸网络,旨在压垮目标的带宽、基础设施或应用。
NTP 放大攻击
利用 NTP 的 MONLIST 等命令实施的反射型 DDoS,使 NTP 服务器向伪造的受害者地址返回体积巨大的数据包。
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。
DNSSEC
一组对 DNS 区域数据进行加密签名的扩展,使解析器能够验证 DNS 响应的真实性与完整性。