域名系統(tǒng)（DNS）服務(wù)器是互聯(lián)網(wǎng)的“電話簿“；互聯(lián)網(wǎng)設(shè)備通過這些服務(wù)器來查找特定 Web 服務(wù)器以便訪問互聯(lián)網(wǎng)內(nèi)容。DNS 洪水攻擊是一種分布式拒絕服務(wù)（DDoS）攻擊，攻擊者用大量流量淹沒某個(gè)域的 DNS 服務(wù)器，以嘗試中斷該域的 DNS 解析。如果用戶無法找到電話簿，就無法查找到用于調(diào)用特定資源的地址。通過中斷 DNS 解析，DNS 洪水攻擊將破壞網(wǎng)站、API 或 Web 應(yīng)用程序響應(yīng)合法流量的能力。很難將 DNS 洪水攻擊與正常的大流量區(qū)分開來，因?yàn)檫@些大規(guī)模流量往往來自多個(gè)唯一地址，查詢?cè)撚虻恼鎸?shí)記錄，模仿合法流量。

DNS洪水攻擊的工作原理

域名系統(tǒng)的功能是將易于記憶的名稱轉(zhuǎn)換成難以記住的網(wǎng)站服務(wù)器地址，因此成功攻擊 DNS 基礎(chǔ)設(shè)施將導(dǎo)致大多數(shù)人無法使用互聯(lián)網(wǎng)。DNS 洪水攻擊是一種相對(duì)較新的基于 DNS 的攻擊，這種攻擊是在高帶寬物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)（如 Mirai）興起后激增的。DNS 洪水攻擊使用 IP 攝像頭、DVR 盒和其他 IoT 設(shè)備的高帶寬連接直接淹沒主要提供商的 DNS 服務(wù)器。來自 IoT 設(shè)備的大量請(qǐng)求淹沒 DNS 提供商的服務(wù)，阻止合法用戶訪問提供商的 DNS 服務(wù)器。

DNS 洪水攻擊不同于 DNS 放大攻擊。與 DNS 洪水攻擊不同，DNS 放大攻擊反射并放大不安全 DNS 服務(wù)器的流量，以便隱藏攻擊的源頭并提高攻擊的有效性。DNS 放大攻擊使用連接帶寬較小的設(shè)備向不安全的 DNS 服務(wù)器發(fā)送無數(shù)請(qǐng)求。這些設(shè)備對(duì)非常大的 DNS 記錄發(fā)出小型請(qǐng)求，但在發(fā)出請(qǐng)求時(shí)，攻擊者偽造返回地址為目標(biāo)受害者。這種放大效果讓攻擊者能借助有限的攻擊資源來破壞較大的目標(biāo)。

如何防護(hù) DNS 洪水攻擊？

DNS 洪水對(duì)傳統(tǒng)上基于放大的攻擊方法做出了改變。借助輕易獲得的高帶寬僵尸網(wǎng)絡(luò)，攻擊者現(xiàn)能針對(duì)大型組織發(fā)動(dòng)攻擊。除非被破壞的 IoT 設(shè)備得以更新或替換，否則抵御這些攻擊的唯一方法是使用一個(gè)超大型、高度分布式的 DNS 系統(tǒng)，以便實(shí)時(shí)監(jiān)測(cè)、吸收和阻止攻擊流量。