域名系統(tǒng)（DNS）服務(wù)器是互聯(lián)網(wǎng)的“電話簿“；互聯(lián)網(wǎng)設(shè)備通過這些服務(wù)器來查找特定 Web 服務(wù)器以便訪問互聯(lián)網(wǎng)內(nèi)容。DNS 洪水攻擊是一種分布式拒絕服務(wù)（DDoS）攻擊，攻擊者用大量流量淹沒某個域的 DNS 服務(wù)器，以嘗試中斷該域的 DNS 解析。如果用戶無法找到電話簿，就無法查找到用于調(diào)用特定資源的地址。通過中斷 DNS 解析，DNS 洪水攻擊將破壞網(wǎng)站、API 或 Web 應(yīng)用程序響應(yīng)合法流量的能力。很難將 DNS 洪水攻擊與正常的大流量區(qū)分開來，因為這些大規(guī)模流量往往來自多個唯一地址，查詢該域的真實記錄，模仿合法流量。

DNS 洪水攻擊的工作原理

域名系統(tǒng)的功能是將易于記憶的名稱（例如example.com）轉(zhuǎn)換成難以記住的網(wǎng)站服務(wù)器地址（例如192.168.0.1），因此成功攻擊 DNS 基礎(chǔ)設(shè)施將導(dǎo)致大多數(shù)人無法使用互聯(lián)網(wǎng)。DNS 洪水攻擊是一種相對較新的基于 DNS 的攻擊，這種攻擊是在高帶寬物聯(lián)網(wǎng)（IoT）僵尸網(wǎng)絡(luò)（如?Mirai）興起后激增的。DNS 洪水攻擊使用 IP 攝像頭、DVR 盒和其他 IoT 設(shè)備的高帶寬連接直接淹沒主要提供商的 DNS 服務(wù)器。來自 IoT 設(shè)備的大量請求淹沒 DNS 提供商的服務(wù)，阻止合法用戶訪問提供商 DNS 服務(wù)器。

DNS 洪水攻擊不同于 DNS 放大攻擊。與 DNS 洪水攻擊不同，DNS 放大攻擊反射并放大不安全 DNS 服務(wù)器的流量，以便隱藏攻擊的源頭并提高攻擊的有效性。DNS 放大攻擊使用連接帶寬較小的設(shè)備向不安全的 DNS 服務(wù)器發(fā)送無數(shù)請求。這些設(shè)備對非常大的 DNS 記錄發(fā)出小型請求，但在發(fā)出請求時，攻擊者偽造返回地址為目標(biāo)受害者。這種放大效果讓攻擊者能借助有限的攻擊資源來破壞較大的目標(biāo)。

如何防護(hù) DNS 洪水攻擊？

DNS 洪水對傳統(tǒng)上基于放大的攻擊方法做出了改變。借助輕易獲得的高帶寬僵尸網(wǎng)絡(luò)，攻擊者現(xiàn)能針對大型組織發(fā)動攻擊。除非被破壞的 IoT 設(shè)備得以更新或替換，否則抵御這些攻擊的唯一方法是使用一個超大型、高度分布式的 DNS 系統(tǒng)，以便實時監(jiān)測、吸收和阻止攻擊流量。目前市面上很多高防DNS服務(wù)，都可以防御DNS洪水攻擊，詳細(xì)可以咨詢主機吧。