发布者：tangkuikui      发布时间：2024/8/2      点击数：723

在网络的发展史里，“分布式拒绝服务（DDoS—Distributed Denial of Service）攻击”这个名词相信大家并不陌生。随着IT及网络的发展，DDoS攻击的规模和频率愈加严峻，单次攻击流量超过100G的案例时有发生，全球僵尸主机规模已经超过3000万台……随处可获得的攻击工具，使得发动一次DDoS攻击的门槛变得极低。

DDoS攻击的主要目的是使指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。其中，DNS类DDoS攻击是常见且破坏力极强的一种攻击方式。

DNS类DDoS攻击概述

DNS（Domain Name System）是域名系统，主要作用是将域名转换为计算机可读的IP地址，是互联网基础架构中的关键组成部分。DNS系统中的服务器分为授权服务器和缓存服务器两种类型。通过打垮DNS服务，黑客可以间接打垮公司的全部业务，或者地区网络服务，有着极高的破坏力。

常见DNS类DDoS攻击方式

DNS类DDoS攻击有多种形式，包括：

DNS查询攻击

DNS reply flood攻击

DNS缓存投毒攻击

DNS协议漏洞攻击

Fast flux僵尸网络攻击

其中，DNS查询攻击尤为常见。通过伪造IP地址向目标DNS服务器发送海量DNS查询请求，使得服务器忙于处理伪造查询，达到拒绝服务的目的。

DNS查询DDoS攻击解析

DNS服务器保存在域名和IP地址之间映射的数据库中，DNS解析时字符串匹配和数据库查找的开销较大。DNS查询DDoS攻击通过伪造大量查询请求，使得服务器繁忙于处理这些请求，导致正常用户的访问请求无法得到响应。如果金融机构的业务系统遭遇这样攻击，将严重影响业务运营，导致巨大的经济损失和客户流失。

针对DNS类DDoS攻击的应对措施

DNS作为互联网关键基础设施，抵御DDoS攻击至关重要。根据当前DDoS攻击的现状，华为专门开发了一整套防护系统，涵盖检测、清洗、管理和统计等多个方面。华为的Anti-DDoS系统由检测设备、清洗设备和管理中心三部分组成，并集成了DDoS防护所需的七层防护算法。

七层防护算法

畸形报文过滤：检查并丢弃违反协议标准的报文。

特征过滤：使用指纹学习和匹配算法识别带有指纹的攻击流量，并根据IP、端口等信息自定义过滤。

虚假源认证：验证流量源IP的访问意图和真实性，有效防护虚假源DNS query flood攻击。

应用层源认证：加强对真实请求的校验，防止伪造请求。

会话分析：针对DDoS攻击的spoof行为和多变的规律进行统计分析，防范隐藏较深的僵尸网络攻击。

行为分析：及时识别Fast flux僵尸网络。

智能限速：针对大流量正常行为进行限速和控制，确保服务器可用性。

管理和报表功能

华为Anti-DDoS系统配置有专业的管理中心，实现业务流量自学习并根据学习结果提供防御策略。管理中心还提供丰富的报表功能，如流量报表、攻击报表、趋势分析报表等，使客户可以清晰了解业务流量和安全事件。

综合防御能力

华为Anti-DDoS8000系列产品能够应对基于IPv4与IPv6协议的多种DNS攻击，并提供DNS缓存功能，缓解大流量对DNS服务器的压力。产品系列还能灵活应对不断变化的DDoS攻击方式，确保攻击流量被精确清洗，保证服务器和网络的正常运营。

随着网络的发展，DDoS攻击的手段不断演进，攻击者不断猜测防护体系的规律并推出新的攻击工具。面向基础架构的DNS类DDoS攻击防护任务仍任重道远。通过借助华为等领先企业的专业防护措施和先进技术手段，网店经营者和企业可以更有效地防御DNS类DDoS攻击，确保互联网业务的稳定运行。

文/蓝盟IT外包