几种针对DNS的DDoS攻击应对方法

DDoS攻击是指通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类：

1、按攻击发起者分类 僵尸网络：控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求 模拟工具：利用工具软件伪造源IP发送海量DNS查询

2、按攻击特征分类 Flood攻击：发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求。

资源消耗攻击：发送大量非法域名查询报文引起DNS服务器持续进行迭代查询，从而达到较少的攻击流量消耗大量服务器资源的目的。

处理办法：

屏蔽未经请求发送的DNS响应信息

一个典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中，在DNS服务器对查询请求进行处理之后，服务器会将响应信息返回给DNS解析器。但值得注意的是，响应信息是不会主动发送的。

服务器在没有接收到查询请求之前，就已经生成了对应的响应信息，回应就被丢弃

丢弃快速重传数据包。

1.即便是在数据包丢失的情况下，任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。

2.如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高，这些请求数据包可丢弃。

启用TTL

如果DNS服务器已经将响应信息成功发送了，应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。

1.对于一个合法的DNS客户端如果已经接收到了响应信息，就不会再次发送相同的查询请求。

2.每一个响应信息都应进行缓存处理直到TTL过期。

3.当DNS服务器遭遇大量查询请求时，可以屏蔽掉不需要的数据包。

丢弃未知来源的DNS查询请求和响应数据

通常情况下，攻击者会利用脚本来对目标进行分布式拒绝服务攻击（DDoS攻击），而且这些脚本通常是有漏洞的。因此，在服务器中部署简单的匿名检测机制，在某种程度上可以限制传入服务器的数据包数量。

丢弃未经请求或突发的DNS请求

这类请求信息很可能是由伪造的代理服务器所发送的，或是由于客户端配置错误或者是攻击流量。所以无论是哪一种情况，都应该直接丢弃这类数据包。

非泛洪攻击 (non-flood) 时段，创建一个白名单，添加允许服务器处理的合法请求信息。白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。

这种方法能够有效地保护服务器不受泛洪攻击的威胁，也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。

启动DNS客户端验证

伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状，便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

对响应信息进行缓存处理

如果某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中，缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。

很多请求中包含了服务器不具有或不支持的信息，我们可以进行简单的阻断设置，例如外部IP地址请求区域转换或碎片化数据包，直接将这类请求数据包丢弃。

利用ACL，BCP38，及IP信誉功能的使用

托管DNS服务器的任何企业都有用户轨迹的限制，当攻击数据包被伪造，伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

还有一种情况，某些伪造的数据包可能来自与内部网络地址，可以利用BCP38通过硬件过滤也可以清除异常来源地址的请求。

BCP38对于提供DNS解析的服务提供商也相当有用，可以避免用户向外发送攻击或受到内部地址请求的攻击，过滤用户并保证其数据传输。

提供余量带宽

如果服务器日常需要处理的DNS通信量达到了X Gbps，请确保流量通道不止是日常的量，有一定的带宽余量可以有利于处理大规模攻击。

结语，目前针对DNS的攻击已成为最严重的网络威胁之一。目前越来越多的大型网站注重DNS保护这一块。为保障网站安全，保障网站利益，选择高防型的DNS为自己的域名进行解析已经迫在眉睫。

希望可以帮到您，谢谢！

如何应对基础架构的DNS类DDOS攻击

DNS是Internet的关键基础设施,是整个互联网能够正常运转的基础。因此，研究DNS如何抵御DDoS攻击具有十分重要的理论和现实意义。

那么面对基础架构的DNS类DDoS攻击，我们该如何应对呢？

根据DDoS攻击现状，华为专门开发了一整套防护系统，其功能涵盖了检测，清洗，管理，统计等多个方面。性能覆盖 2G-200G各个区段。华为Anti-DDoS 系统由检测设备，清洗设备，管理中心三部分组成。

华为智能防护引擎内部集成了 DDoS防护必备的7 层防护算法，逐层对攻击流量进行清洗过滤，实现对流量型攻击和应用层攻击的全面防护。

7层防护由畸形包过滤，特征过滤，虚假源认证，应用层认证，会话分析，行为分析，智能限速组成。

◆畸形报文过滤针对违反协议标准的报文进行检查和丢弃。

◆特征过滤则使用了华为强大的指纹学习和匹配算法，可以识别带有指纹的攻击流量，同时可以针对自定义报文特征，如 IP，端口等信息对报文进行过滤。

◆虚假源认证和应用层源认证则能够验证流量源 IP 的访问意图和真实性，能够有效的防护虚假源DNS query flood攻击。

◆会话分析和行为分析则能够针对DDoS攻击经常性的 spoof行为特点和多变的攻击规律进行统计分析，对隐藏较深的僵尸网络攻击拥有良好的防范效果，Fast flux僵尸网络将难逃法眼。

◆最后的智能限速则可以针对大流量正常行为进行限制和控制保证服务器的可用性。

精确全面 七层防护

提供众多防护算法的同时，华为清洗引擎可以有效降低对正常流量的误判和错判，避免了一些传统防护设备存在的影响客户业务，干扰正常访问等问题。

华为的AntiDDoS系统配置有专业的管理中心，可实现用户的业务流量自学习，根据学习结果提供防御策略，使得管理简单，防御精确；管理中心提供丰富的报表功能：如，流量报表、攻击报表，趋势分析报表等，使得客户对业务流量和安全事件一目了然。

据了解，华为Anti-DDoS8000系列产品能够帮助客户防御基于IPv4与IPv6协议上针对DNS服务器的攻击，如：虚假源DNS query flood攻击；真实源DNS query flood攻击；DNS reply flood攻击；DNS缓存投毒攻击；DNS协议漏洞攻击；DNS CacheMiss攻击；Fast flux僵尸网络等。同时，能够提供DNS Cache功能，缓解大流量DNS服务器压力。

除此以外，面对不断变化的DDoS攻击，华为Anti-DDoS系列产品能够针对DDoS攻击的各种手段，提出相应的防范算法，在抵御传输层攻击的同时，也能够针对各种应用层攻击进行识别和防范。并能够灵活的进行算法间的组合搭配，保证流量被准确清洗。

随着网络的发展，面向基础架构的DNS类DDoS攻击势必也会演进，因为攻击者总是在猜测着DDoS攻击防护体系的防范规律，同时也在不断的推出新的攻击软件和攻击手段。放眼未来，DDoS攻击防护任重而道远！

第一步：

方案特点：

防御各种基于在线游戏的DDoS攻击，如游戏空连接、慢连接、游戏CC攻击、踢人外挂、针对游戏网关和游戏战斗服务器的攻击

建议搭配：

优质BGP云服务器+AnTi防御

AnTI防御基于云漫网络自主研发的攻击防护服务产品，为客户提供DDoS、CC、WAF防护服务，可以防护SYN Flood、UDP

Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击、

用户购买AnTI防御，把手游APP连接服务端的域名解析到AntTI防御cname域名上，同时在用户后台配置业务端口；所有公网流量都会走高防机房，通过端口协议转发的方式将用户的访问通过AnTi防御节点转发到源站IP，

同时将恶意攻击流量在AnTi防御节点上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。

防护海量DDoS攻击

成功防御全球最大DDoS攻击，攻击流量达到453.8G。

有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。

精准攻击防护

针对交易类、加密类、七层应用、智能终端、在线业务攻击精准防护，使得威胁无处可逃。

隐藏用户服务资源

阿里云云盾服务可对用户站点进行更换并隐藏，云盾资源做为源站的前置，增加源站安全性，使攻击者无法找到受害者网络资源。

弹性防护

DDoS防护性能弹性调整，用户可在控制台自助升级，秒级生效，无需新增任何物理设备，业务上也无需进行任何调整，整个过程服务无中断。

高可靠、高可用的服务

全自动检测和攻击策略匹配，实时防护，清洗服务可用性99.99%。

---