DNS DDOS攻击的分析和防护策略(二)

二、DNS DDOS攻击分类

    DNS DDOS攻击的最终目的是让DNS服务器和域名无法解析,但攻击目标、路径和攻击方式又会有各种变化

2.1 按攻击路径分类

  • 直接式攻击,对目标DNS服务器直接发送泛洪DNS请求报文进行攻击

  • 跳板式攻击,不对目标DNS服务器进行攻击,而是通过对公用递归服务器发送泛洪DNS请求报文进行跳板式攻击。跳板方式是目前主要的DNS攻击方式

2.2 按攻击目标分类

  •  授权域名服务器

    授权域名服务器可以是根服务器,TLD服务器,CNNIC服务器,域名服务提供商的授权域名服务器,云平台或CDN网络的授权域名服务器,或者是某单一域名的授权域名服务器。攻击影响力按照大小依次递减,难度也依次递减;

  • 缓存/递归服务器

    主要是运营商DNS服务器或公众DNS服务器,其可以成为直接的攻击目标,也可以被利用为攻击跳板去攻击授权域名服务器。

  • 单一域名:某个网站或应用所使用的域名;

  • 单一IP:某个网站或用户,甚至某个网吧的固定IP;

2.3 按攻击方式分类

  • 服务器资源消耗

    通过发送大量泛洪DNS请求,消耗DNS服务器的运行资源,使其达到或超过服务上限从而使DNS服务器停止工作或响应缓慢;实现手段主要是随机化域名前缀或后缀DNS 泛洪攻击。

  • 带宽资源消耗

    通过DNS放大攻击等模式,消耗DNS系统的出口带宽,从而阻塞DNS正常应答报文送达用户。实现手段主要是DNS 泛洪放大攻击。

待续:下节分析DNS DDOS攻击的细节和对服务器的影响

你可能感兴趣的:(dns,分类,ddos)