域名攻击 方法

一种针对域名服务器的新型分布式拒绝服务攻击（DDoS），可称之为“胡乱域名”（Nonsense Name）攻击。它能给递归域名服务器和权威域名服务器（authoritative name servers）造成严重破坏。这种“无意义域名”DDoS攻击通常是这样进行的：1.攻击者选定一个域作为目标，比如someone.example。2. 在目标域内，攻击者操纵僵尸网络产生大量随机域名。这些随机域名的头部都是些诸如asdfghjk、zxcvbnm之类的无意义的字符，制造出来的域名形如：asdfghjk.someone.example和zxcvbnm.someone.example。3.然后向递归域名服务器发起大量针对这些无意义域名的查询请求。4.递归域名服务器转而将请求发送到someone.example的权威服务器以查询这些域名。5. 权威域名服务器返回‘请求的域名不存在’的响应（NXDOMAIN）。6. 递归服务器中继转发这一响应给原始请求者，并缓存下域名不存在的记录。7. 请求，响应，缓存，再来一遍。反反复复无穷尽。大多数情况下，运营权威域名服务器的机构（本例中是为someone.example提供权威域名解析的）似乎是攻击者的目标。比如说，我们观察到的某些被攻击的域名就是国内博彩网站使用的（也许是有人因为损失惨重而对庄家进行报复？）无论如何，递归服务器终归是无辜中箭，连带崩溃。他们确实是目标么？比如之前，Infoblox的客户遭受攻击的域中有部分在攻击过后神秘消失了一天或两天，表明这些域并没有被使用（事实上很可能是被“试探性抢注”了）。攻击者可能故意将这些域注册到慢速或停止响应的域名服务器上，这样域内的域名解析就会无限漫长，比如com、top、cn等等域名。当然，抛开目标问题不谈，攻击背后的机制也同样迷雾重重。

uery flood 通过不断的发DNS请求报文来耗尽目的DNS资源，形成拒绝服务。具体分类包括源IP是否随机以及目的域名是否随机等。response flood 通过不断的发DNS响应报文来达到拒绝服务的目的。udp floodv DNS底层协议为UDP，基于UDP的各种flood攻击也都会给DNS带来危害。折射攻击（反射攻击） 伪造源IP为第三方，借助DNS的回包来达到DoS掉第三方的目的。属于“借刀杀人”的手段。放大攻击 折射攻击的一种。通过恶意的构造响应报文来达到流量放大作用，从而对第三方形成带宽攻击。请求报文几十字节，响应报文几千字节，意味着可以形成百倍以上流量放大系数。缓存投毒 每一台DNS都有缓存，缓存投毒指的是通过恶意手段污染DNS缓存，形成DNS劫持或者拒绝服务。漏洞攻击 利用各种漏洞来达到入侵并控制DNS服务器目的。漏洞不仅仅指DNS程序本身的，也有可能是机器或者网络其它的“问题点”。 社会工程学手段 所有的系统都需要人的维护，而人永远是安全中最脆弱的一环。

---