作為互聯(lián)網(wǎng)最基礎(chǔ)承匣、最核心的服務(wù),DNS自然也是DDoS攻擊的重要目標(biāo)之一锤悄。打垮DNS服務(wù)能夠間接打垮一家公司的全部業(yè)務(wù)韧骗,或者打垮一個地區(qū)的網(wǎng)絡(luò)服務(wù)。前些時候風(fēng)頭正盛的黑客組織anonymous也曾經(jīng)宣布要攻擊全球互聯(lián)網(wǎng)的13臺根DNS服務(wù)器零聚,不過最終沒有得手袍暴。
UDP攻擊是最容易發(fā)起海量流量的攻擊手段些侍,而且源IP隨機(jī)偽造難以追查。但過濾比較容易政模,因為大多數(shù)IP并不提供UDP服務(wù)岗宣,直接丟棄UDP流量即可。所以現(xiàn)在純粹的UDP流量攻擊比較少見了淋样,取而代之的是UDP協(xié)議承載的DNS Query Flood攻擊耗式。簡單地說,越上層協(xié)議上發(fā)動的DDoS攻擊越難以防御趁猴,因為協(xié)議越上層纽什,與業(yè)務(wù)關(guān)聯(lián)越大,防御系統(tǒng)面臨的情況越復(fù)雜躲叼。
DNS Query Flood就是攻擊者操縱大量傀儡機(jī)器芦缰,對目標(biāo)發(fā)起海量的域名查詢請求。為了防止基于ACL的過濾枫慷,必須提高數(shù)據(jù)包的隨機(jī)性让蕾。常用的做法是UDP層隨機(jī)偽造源IP地址、隨機(jī)偽造源端口等參數(shù)或听。在DNS協(xié)議層探孝,隨機(jī)偽造查詢ID以及待解析域名。隨機(jī)偽造待解析域名除了防止過濾外誉裆,還可以降低命中DNS緩存的可能性顿颅,盡可能多地消耗DNS服務(wù)器的CPU資源。
php初學(xué)者-千鋒php課程筆記
