DDOS--DNS Query Flood

转载自： http://www.dnsceo.com/help/detail.php?id=71

　　什么是DNS查询攻击？DNS查询攻击全称UDP DNS Query Flood，攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

　　根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道，在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS 服务器的脆弱性。目前最常用的DNS服务器软件是国内领先的WINMYDNS,以及国外的Bind等。

　通常攻击者采用的手段包括：

• 利用发包程序向DNS服务器发送不带任何负载的NULL数据包。由于数据包本身不符合协议规定，服务器在收到报文的时候将直接丢弃。因此这种攻击方式除非攻击流量比较大，否则不会有明显的效果。

• 利用程序构造DNS解析请求固定的域名，由于DNS服务器在解析请求的时候会在系统cache存放上一次解析的结果，这种攻击方式也需要较大的流量。

• 向DNS服务器发起解析请求随机的、不存在的域名；这样DNS服务器就需要进行频繁的字符串匹配，由于在本地无法查到对应的结果，服务器必须使用递归查询向上层域名服务器提交解析请求，引起连锁反应。
  目前尚没有防火墙能对DNS服务器的攻击进行防护，只有少数的专业防护设备可以做到。

　DNS Query Flood防护

• 在UDP Flood的基础上对 UDP DNS Query Flood 攻击进行防护；

• 根据域名 IP 自学习结果主动回应，减轻服务器负载(使用 DNS Cache)；

• 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制? 在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级；

• 限制每个源 IP 地址每秒的域名解析请求次数。