目前，越來(lái)越多的服務(wù)器受到DDoS流量的攻擊，特別是近年來(lái)，DNS流量攻擊呈現(xiàn)出快速增長(zhǎng)的趨勢(shì)，DNS受眾廣泛，存在漏洞，容易被攻擊者利用。對(duì)于DNS流量攻擊的詳細(xì)情況，讓我們做一個(gè)全面的分析，并通過(guò)近年來(lái)sine安全的安全監(jiān)控大數(shù)據(jù)來(lái)看看DNS攻擊。一種是DNS路由劫持攻擊，另一種是DNS流量放大攻擊。

服務(wù)器的攻擊者將劫持DNS緩存攻擊的路由。發(fā)送請(qǐng)求包或打開(kāi)網(wǎng)站時(shí)，他會(huì)找到近的路徑?？傊?，這是網(wǎng)站劫持。例如，當(dāng)訪問(wèn)者請(qǐng)求sine security官方網(wǎng)站時(shí)，如果二級(jí)路由被劫持，他將向您返回一個(gè)非sine security的IP。攻擊者可以惡意構(gòu)造此IP。當(dāng)您意外地訪問(wèn)它并輸入用戶名和密碼時(shí)，攻擊者將掌握這些信息。也就是說(shuō)，密碼信息被劫持。

那么如何檢測(cè)DNS路由劫持攻擊呢？

正常情況下，我們的DNS服務(wù)器和我們網(wǎng)站的域名解析IP是同步的，并且是一致的。當(dāng)你訪問(wèn)一個(gè)網(wǎng)站或其他域名時(shí)，你會(huì)發(fā)現(xiàn)打開(kāi)的網(wǎng)頁(yè)或解析到一個(gè)IP地址基本上決定了DNS被劫持。您可以使用域名解析工具來(lái)檢查問(wèn)題。

DNS服務(wù)器也有漏洞，通常發(fā)生在區(qū)域傳輸中。目前，很多DNS服務(wù)器默認(rèn)配置為在有訪問(wèn)請(qǐng)求時(shí)自動(dòng)返回域名數(shù)據(jù)庫(kù)的所有信息，導(dǎo)致任意的DNS域傳輸解析操作。大多數(shù)攻擊都是TCP協(xié)議傳輸攻擊。

DNS流量攻擊的英文名稱也稱為dnsamplicationattack。它通過(guò)回復(fù)域名的方式請(qǐng)求包來(lái)增加請(qǐng)求的流量。很明顯，10g數(shù)據(jù)包將擴(kuò)大到100g，數(shù)據(jù)量將越來(lái)越多。攻擊者的IP也是偽造的，反向?qū)κ芎P造成DNS流量放大攻擊，檢查服務(wù)器的CPU在80到99之間是否占用到100，可以看出返回包中的遞歸數(shù)據(jù)是否為1，ant參數(shù)的合法值。包的大小也可以看出攻擊的特點(diǎn)。

DNS流量攻擊都是利用攻擊者的帶寬和網(wǎng)站服務(wù)器的帶寬之差進(jìn)行的。當(dāng)攻擊者的帶寬和攻擊次數(shù)增加時(shí)，會(huì)對(duì)服務(wù)器產(chǎn)生影響。發(fā)送一個(gè)請(qǐng)求查詢包，通常發(fā)送一個(gè)請(qǐng)求，它會(huì)放大到10個(gè)請(qǐng)求。攻擊者數(shù)量越多，流量就越大，被攻擊的網(wǎng)站和服務(wù)器將無(wú)法承載這么多帶寬。

網(wǎng)站和服務(wù)器的運(yùn)營(yíng)商使用的帶寬是有限的，一般在1-50米左右，有的在100米左右，但當(dāng)他們受到大流量攻擊時(shí)，他們根本無(wú)法承受，然后服務(wù)器癱瘓。一般的安全策略是使用服務(wù)器的硬件防火墻來(lái)抵御流量攻擊。另一種是利用CDN隱藏服務(wù)器的真實(shí)IP，讓CDN共享流量攻擊，如果你對(duì)流量攻擊保護(hù)不太了解，可以找專業(yè)的網(wǎng)站安全公司來(lái)處理。