本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严
禁用于任何商业用途。
msn:
[email protected]
来源:http://yfydz.cublog.cn
很显然DNS服务是非常容易受到FLOOD攻击的一种服务,由于DNS请求是UDP包,而且没有认证机制,任何
人都可以伪造大量的DNS请求后发送出去就可以不用管了,服务器收到这些请求后由于没法认证是否合法
,就必须全部处理。服务器处理DNS查询最差情况下需要搜索本地全部数据库,因此对DNS服务器的攻击
比SYN flood攻击都要有效得多,和CC攻击比较类似。
DNS服务器一般设计为都是带高速cache的,一个请求查询完会把结果放到cache中,下一次查就不用重新
搜索了,因此发送攻击包时域名不要相同,否则意义不大。
现在一些DNS服务器也有基本判断功能,如果一看这个域名就不象是真的,一般就不会去解析了,所以最
好的攻击方式是是向服务器发送大量的看似合法但实际又不存在的域名请求,如“www.abccba.com”,
DNS服务器本地查不到还只能向上级DNS服务器进行请求,自动形成了攻击泛滥。
DNS服务器对此攻击基本没有什么真正彻底的防御方法,除了高速缓存、域名检查外,基本只能限制一下
数据包流量了,最好的也就是限制到每个IP的访问流量了。