Cloudflare：什么是 DNS 洪水？

什么是 DNS 洪水？

域名系統(tǒng) (DNS) 服務器是 Internet 的“電話簿”；它們是 Internet 設備查找特定 Web 服務器以訪問 Internet 內容的途徑。DNS 洪水是分布式拒絕服務攻擊 (DDoS) 的一種，攻擊者對特定域的 DNS 服務器發(fā)起流量洪水，以圖破壞該域的 DNS 解析。如果用戶找不到電話簿，則它將無法查找地址以調用特定資源。通過破壞 DNS 解析，DNS 洪水攻擊將損害網站、API 或 Web 應用程序對合法流量的響應能力。DNS 洪水攻擊可能很難與正常的繁忙流量區(qū)分開來，因為大量流量通常來自多個位置，它們查詢域中的真實記錄，完全模仿合法流量。

DNS 洪水攻擊的工作原理

域名系統(tǒng)的功能是在易于記憶的名稱（例如 example.com）和難以記憶的網站服務器地址（例如 192.168.0.1）之間進行轉換，因此成功攻擊 DNS 基礎設施會使大多數(shù)人無法使用 Internet。DNS 洪水攻擊構成了一種相對新型的基于 DNS 的攻擊，隨著高帶寬物聯(lián)網 (IoT) 僵尸網絡（如 Mirai）的興起而激增。DNS 洪水攻擊使用 IP 攝像頭、 DVR 盒和其他 IoT 設備的高帶寬連接來直接淹沒主要提供商的 DNS 服務器。來自物聯(lián)網設備的請求數(shù)量使 DNS 提供商的服務不堪重負，并阻止合法用戶訪問提供商的 DNS 服務器。

DNS 洪水攻擊與 DNS 放大攻擊不同。DNS 放大攻擊會反射和放大來自不安全的 DNS 服務器的流量，以隱藏攻擊的來源并提高其有效性。DNS 放大攻擊使用帶寬連接較小的設備向不安全的 DNS 服務器發(fā)出大量請求。設備發(fā)出許多較小的請求，形成非常大的 DNS 記錄，但是在發(fā)出請求時，攻擊者將返回地址偽造為預期受害者的地址。放大使攻擊者使用有限的攻擊資源即可破壞更大的目標。

如何防護 DNS 洪水攻擊？

DNS 洪水是傳統(tǒng)上基于放大的攻擊方法的變更結果。借助易于訪問的高帶寬僵尸網絡，攻擊者現(xiàn)在可以針對大型組織發(fā)起攻擊。在可以更新或更換受損的 IoT 設備之前，抵御這些攻擊的唯一方法是使用大型、高度分散的 DNS 系統(tǒng)，以實時監(jiān)視、吸收和阻止攻擊流量。