随着越来越多的服务器被攻击,尤其近几年的DNS流量攻击的快速增长,因为DNS受众较广,且存在漏洞,所以容易遭受到攻击者的利用,关于DNS流量攻击的详情,通过这几年的安全监控大数据来看清DNS的攻击。一种是DNS路由劫持攻击,一种是DNS流量放大攻击。
在正常的一些情况下,我们的DNS服务器与我们网站域名的IP,都是保持一致,当你访问一个网站或者其他域名的时候,发现打开的都是一个页面或者是解析到了一个IP上,基本上就可以断定DNS被劫持了。
DNS服务器也会有漏洞,一般是在区域传送过程中发生,目前很多DNS的服务器都被默认的配置成了当有访问请求的时候,会自动返回一个域名的数据库所有信息,造成了可以任意的执行DNS域传送的解析这一操作,攻击者大多数使用的是TCP协议进行传输攻击。
DNS流量攻击,是利用回复域名请求数据包加大的方式将所请求的流量进行放大,明明20G的数据包会放大成200G,数据量越来越多,并且攻击者的IP大都是伪造的,反向给受害IP,从而导致造成DNS流量放大攻击,我们可以查看服务器的CPU占用率是否到百分之80到99之间,看回复的数据包里的recursion数据是否为1,以及ANT参数的合法值,从数据包的大小也可以看出攻击的特征,返回的数据包往往远远大于请求数据包。