DNS放大攻击的有效防范措施
DNS放大攻击(DNS amplification attacks),是使用第三方的欺骗性数据包发送查询请求,直到耗尽受害网站的全部带宽,从而达到使该网站无法访问的目的。这种类型的DNS攻击越来越被经常使用,而且效果很明显,因此而受害的网站数不胜数。
由于DNS查询请求通常为无连接的UDP类型,所以攻击者只要使用1G的伪造源地址DNS查询流量,理论上就可能获得超过50G 的UDP流量,并且可以控制其流向导引到攻击目标。如果控制每台DNS只产生30M的应答攻击流量,那么只需要1万台就可以达到300G DDoS流量攻击的效果。300G DDOS的流量足以让一个机房宕机,可见这种攻击的可怕性。
因为效果显著,DNS放大攻击也越来越频繁出现,以致不少网站深受其害,遭受无数的损失。那么这种DNS应该怎样去防范呢?小编与大家分享一下本人的经验。
解决措施一:保证足够带宽
既然是流量攻击,那么首先我们就要保证网站有足够的带宽让这些流量通过。购买带宽所需要的花费不少。其实目前有很多DNS提供高防服务。他们本身有机房保障带宽,能防御大流量攻击,这样就算网站使用一般带宽,当有攻击时,这些流量就必须由DNS服务商来承受,使网站减少不必要的花费。目前提供高防DNS的服务商有群英网络的QYDNS,他们有高防机房做后盾,抵御攻击能力也是很强的。
解决措施二:识别过滤攻击
虽然这种欺骗性的攻击比较难识别,但是当攻击出现时,机房还是能够及时的反应,这说明将欺骗查询识别出来并拦截过滤是有可能的。要识别这种攻击,你要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。一些DNS服务商已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯,这样就能及时发现并避免攻击。所以还是要选择有防御功能的DNS.群英网络的QYDNS在这方面就做的不错,它的高防技术在全国都是领先的。
解决措施三:避免成为帮凶
既然DNS攻击是利用第三方的欺骗数据包发送查询请求,那么你的DNS服务器也可能成为帮凶,所以要确保你的dns服务器只为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。选择具有这种功能的DNS服务,既能保证自己的网站安全,又能为整个网络环境安全做贡献。
总之,目前防范DNS放大攻击,最有效最实惠的措施就是选择一家有实力的高防DNS,让他们为你抵御那些恶意攻击,省心省力。至于什么高防DNS比较好,个人有个人的使用心得,本人建议可以使用群英网络的QYDNS,毕竟人家的高防机房真的很牛,防得住。
