专家将 DNS 放大攻击描述为使用特定类型的 DNS 查询协议和可用硬件设置来使系统受到不必要的传入查询的困扰的技术。更早、更原始的 DNS 放大攻击将单个请求发送到中央网络资源。由于缺乏握手认证,这些节点会将请求分发到其他网络系统设备。现代网络管理在很大程度上阻止了这些类型的攻击。
较新类型的 DNS 放大攻击涉及称为开放解析器的 DNS 服务器。这个想法是 Internet 服务提供商 (ISP) 通常会为客户端分配这些 DNS 服务器,这些 DNS 服务器有助于分发 IP 地址信息。一种常见的 DNS 放大攻击技术涉及伪造数据包标头,并以其他方式诱使 DNS 服务器赶上大量非法 IP 流量,并提供不真实但旨在作为 DDoS 攻击一部分的查询。
攻击者还可以发送特定类型的查询,这些查询需要来自 DNS 服务器的更多响应。例如,查询可能需要大量 DNS 记录。专家还指出,这些“开放式解析器”的设置不正确,不应设置为不加选择地回答查询。通过关闭这些类型的安全漏洞,网络可以保护自己免受常见类型的 DNS 放大攻击和类似的 DDoS 攻击。
置顶卡
变色卡
千斤顶