作為互聯(lián)網(wǎng)最基礎(chǔ)噪舀、最核心的服務(wù)魁淳,DNS自然也是DDoS攻擊的重要目標(biāo)之一飘诗。打垮DNS服務(wù)能夠間接打垮一家公司的全部業(yè)務(wù),或者打垮一個(gè)地區(qū)的網(wǎng)絡(luò)服務(wù)界逛。前些時(shí)候風(fēng)頭正盛的黑客組織anonymous也曾經(jīng)宣布要攻擊全球互聯(lián)網(wǎng)的13臺(tái)根DNS服務(wù)器昆稿,不過(guò)最終沒(méi)有得手。
UDP攻擊是最容易發(fā)起海量流量的攻擊手段息拜,而且源IP隨機(jī)偽造難以追查溉潭。但過(guò)濾比較容易净响,因?yàn)榇蠖鄶?shù)IP并不提供UDP服務(wù),直接丟棄UDP流量即可喳瓣。所以現(xiàn)在純粹的UDP流量攻擊比較少見(jiàn)了馋贤,取而代之的是UDP協(xié)議承載的DNS Query Flood攻擊。簡(jiǎn)單地說(shuō)畏陕,越上層協(xié)議上發(fā)動(dòng)的DDoS攻擊越難以防御配乓,因?yàn)閰f(xié)議越上層,與業(yè)務(wù)關(guān)聯(lián)越大惠毁,防御系統(tǒng)面臨的情況越復(fù)雜犹芹。
DNS Query Flood就是攻擊者操縱大量傀儡機(jī)器,對(duì)目標(biāo)發(fā)起海量的域名查詢請(qǐng)求鞠绰。為了防止基于ACL的過(guò)濾腰埂,必須提高數(shù)據(jù)包的隨機(jī)性。常用的做法是UDP層隨機(jī)偽造源IP地址蜈膨、隨機(jī)偽造源端口等參數(shù)屿笼。在DNS協(xié)議層,隨機(jī)偽造查詢ID以及待解析域名翁巍。隨機(jī)偽造待解析域名除了防止過(guò)濾外刁卜,還可以降低命中DNS緩存的可能性,盡可能多地消耗DNS服務(wù)器的CPU資源曙咽。
PHP初學(xué)者-千鋒php課程筆記
