互聯(lián)網(wǎng)上的DNS放大攻擊(DNS amplification attacks)急劇增長(cháng)。這種攻擊是一種數據包的大量變體能夠產(chǎn)生針對一個(gè)目標的大量的虛假的通訊。這種虛假通訊的數量有多大?每秒鐘達數GB，足以阻止任何人進(jìn)入互聯(lián)網(wǎng)。
　　與老式的“smurf attacks”攻擊非常相似，DNS放大攻擊使用針對無(wú)辜的第三方的欺騙性的數據包來(lái)放大通訊量，其目的是耗盡受害者的全部帶寬。但是，“smurf attacks”攻擊是向一個(gè)網(wǎng)絡(luò )廣播地址發(fā)送數據包以達到放大通訊的目的。DNS放大攻擊不包括廣播地址。相反，這種攻擊向互聯(lián)網(wǎng)上的一系列無(wú)辜的第三方DNS服務(wù)器發(fā)送小的和欺騙性的詢(xún)問(wèn)信息。這些DNS服務(wù)器隨后將向表面上是提出查詢(xún)的那臺服務(wù)器發(fā)回大量的回復，導致通訊量的放大并且最終把攻擊目標淹沒(méi)。因為DNS是以無(wú)狀態(tài)的UDP數據包為基礎的，采取這種欺騙方式是司空見(jiàn)慣的。
　　這種攻擊主要依靠對DNS實(shí)施60個(gè)字節左右的查詢(xún)，回復最多可達512個(gè)字節，從而使通訊量放大8.5倍。這對于攻擊者來(lái)說(shuō)是不錯的，但是，仍沒(méi)有達到攻擊者希望得到了淹沒(méi)的水平。最近，攻擊者采用了一些更新的技術(shù)把目前的DNS放大攻擊提高了好幾倍。
　　當前許多DNS服務(wù)器支持EDNS。EDNS是DNS的一套擴大機制，RFC 2671對次有介紹。一些選擇能夠讓DNS回復超過(guò)512字節并且仍然使用UDP，如果要求者指出它能夠處理這樣大的DNS查詢(xún)的話(huà)。攻擊者已經(jīng)利用這種方法產(chǎn)生了大量的通訊。通過(guò)發(fā)送一個(gè)60個(gè)字節的查詢(xún)來(lái)獲取一個(gè)大約4000個(gè)字節的記錄，攻擊者能夠把通訊量放大66倍。一些這種性質(zhì)的攻擊已經(jīng)產(chǎn)生了每秒鐘許多GB的通訊量，對于某些目標的攻擊甚至超過(guò)了每秒鐘10GB的通訊量。西安網(wǎng)站建設推薦閱讀>>> DNS的工作原理，
　　要實(shí)現這種攻擊，攻擊者首先要找到幾臺代表互聯(lián)網(wǎng)上的某個(gè)人實(shí)施循環(huán)查詢(xún)工作的第三方DNS服務(wù)器(大多數DNS服務(wù)器都有這種設置)。由于支持循環(huán)查詢(xún)，攻擊者可以向一臺DNS服務(wù)器發(fā)送一個(gè)查詢(xún)，這臺DNS服務(wù)器隨后把這個(gè)查詢(xún)(以循環(huán)的方式)發(fā)送給攻擊者選擇的一臺DNS服務(wù)器。接下來(lái)，攻擊者向這些服務(wù)器發(fā)送一個(gè)DNS記錄查詢(xún)，這個(gè)記錄是攻擊者在自己的DNS服務(wù)器上控制的。由于這些服務(wù)器被設置為循環(huán)查詢(xún)，這些第三方服務(wù)器就向攻擊者發(fā)回這些請求。攻擊者在DNS服務(wù)器上存儲了一個(gè)4000個(gè)字節的文本用于進(jìn)行這種DNS放大攻擊。
　　現在，由于攻擊者已經(jīng)向第三方DNS服務(wù)器的緩存中加入了大量的記錄，攻擊者接下來(lái)向這些服務(wù)器發(fā)送DNS查詢(xún)信息(帶有啟用大量回復的EDNS選項)，并采取欺騙手段讓那些DNS服務(wù)器認為這個(gè)查詢(xún)信息是從攻擊者希望攻擊的那個(gè)IP地址發(fā)出來(lái)的。這些第三方DNS服務(wù)器于是就用這個(gè)4000個(gè)字節的文本記錄進(jìn)行回復，用大量的UDP數據包淹沒(méi)受害者。攻擊者向第三方DNS服務(wù)器發(fā)出數百萬(wàn)小的和欺騙性的查詢(xún)信息，這些DNS服務(wù)器將用大量的DNS回復數據包淹沒(méi)那個(gè)受害者。
　　如何防御這種大規模攻擊呢?首先，保證你擁有足夠的帶寬承受小規模的洪水般的攻擊。一個(gè)單一的T1線(xiàn)路對于重要的互聯(lián)網(wǎng)連接是不夠的，因為任何惡意的腳本少年都可以消耗掉你的帶寬。如果你的連接不是執行重要任務(wù)的，一條T1線(xiàn)路就夠了。否則，你就需要更多的帶寬以便承受小規模的洪水般的攻擊。不過(guò)，幾乎任何人都無(wú)法承受每秒鐘數GB的DNS放大攻擊。西安網(wǎng)站建設推薦閱讀>>> 常見(jiàn)的DNS攻擊，
　　因此，你要保證手邊有能夠與你的ISP隨時(shí)取得聯(lián)系的應急電話(huà)號碼。這樣，一旦發(fā)生這種攻擊，你可以馬上與ISP聯(lián)系，讓他們在上游過(guò)濾掉這種攻擊。要識別這種攻擊，你要查看包含DNS回復的大量通訊(源UDP端口53)，特別是要查看那些擁有大量DNS記錄的端口。一些ISP已經(jīng)在其整個(gè)網(wǎng)絡(luò )上部署了傳感器以便檢測各種類(lèi)型的早期大量通訊。這樣，你的ISP很可能在你發(fā)現這種攻擊之前就發(fā)現和避免了這種攻擊。你要問(wèn)一下你的ISP是否擁有這個(gè)能力。
　　最后，為了幫助阻止惡意人員使用你的DNS服務(wù)器作為一個(gè)實(shí)施這種DNS放大攻擊的代理，你要保證你的可以從外部訪(fǎng)問(wèn)的DNS服務(wù)器僅為你自己的網(wǎng)絡(luò )執行循環(huán)查詢(xún)，不為任何互聯(lián)網(wǎng)上的地址進(jìn)行這種查詢(xún)。大多數主要DNS服務(wù)器擁有限制循環(huán)查詢(xún)的能力，因此，它們僅接受某些網(wǎng)絡(luò )的查詢(xún)，比如你自己的網(wǎng)絡(luò )。通過(guò)阻止利用循環(huán)查詢(xún)裝載大型有害的DNS記錄，你就可以防止你的DNS服務(wù)器成為這個(gè)問(wèn)題的一部分。西安網(wǎng)站建設推薦閱讀>>> DNS劫持漏洞呈上升趨勢，請站長(cháng)關(guān)注，
　　結束語(yǔ)：網(wǎng)絡(luò )攻擊越來(lái)越猖獗，對網(wǎng)絡(luò )安全造成了很大的威脅。對于任何黑客的惡意攻擊，都有辦法來(lái)防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò )知識，就可以抵御黑客們的瘋狂攻擊。一些初學(xué)網(wǎng)絡(luò )的朋友也不必擔心，因為目前市場(chǎng)上也已推出許多網(wǎng)絡(luò )安全方案，以及各式防火墻，相信在不久的將來(lái)，網(wǎng)絡(luò )一定會(huì )是一個(gè)安全的信息傳輸媒體。特別需要強調的是，在任何時(shí)候都應將網(wǎng)絡(luò )安全教育放在整個(gè)安全體系的首位，努力提高所有網(wǎng)絡(luò )用戶(hù)的安全意識和基本防范技術(shù)。這對提高整個(gè)網(wǎng)絡(luò )的安全性有著(zhù)十分重要的意義。