目前，越來越多的服務(wù)器受到DDoS流量的攻擊，特別是近年來，DNS流量攻擊呈現(xiàn)出快速增長的趨勢，DNS受眾廣泛，存在漏洞，容易被攻擊者利用。對于DNS流量攻擊的詳細(xì)情況，讓我們做一個(gè)全面的分析，并通過近年來sine安全的安全監(jiān)控大數(shù)據(jù)來看看DNS攻擊。一種是DNS路由劫持攻擊，另一種是DNS流量放大攻擊。

服務(wù)器的攻擊者將劫持DNS緩存攻擊的路由。發(fā)送請求包或打開網(wǎng)站時(shí)，他會找到近的路徑?？傊@是網(wǎng)站劫持。例如，當(dāng)訪問者請求sine security官方網(wǎng)站時(shí)，如果二級路由被劫持，他將向您返回一個(gè)非sine security的IP。攻擊者可以惡意構(gòu)造此IP。當(dāng)您意外地訪問它并輸入用戶名和密碼時(shí)，攻擊者將掌握這些信息。也就是說，密碼信息被劫持。

那么如何檢測DNS路由劫持攻擊呢？

正常情況下，我們的DNS服務(wù)器和我們網(wǎng)站的域名解析IP是同步的，并且是一致的。當(dāng)你訪問一個(gè)網(wǎng)站或其他域名時(shí)，你會發(fā)現(xiàn)打開的網(wǎng)頁或解析到一個(gè)IP地址基本上決定了DNS被劫持。您可以使用域名解析工具來檢查問題。

DNS服務(wù)器也有漏洞，通常發(fā)生在區(qū)域傳輸中。目前，很多DNS服務(wù)器默認(rèn)配置為在有訪問請求時(shí)自動返回域名數(shù)據(jù)庫的所有信息，導(dǎo)致任意的DNS域傳輸解析操作。大多數(shù)攻擊都是TCP協(xié)議傳輸攻擊。

DNS流量攻擊的英文名稱也稱為dnsamplicationattack。它通過回復(fù)域名的方式請求包來增加請求的流量。很明顯，10g數(shù)據(jù)包將擴(kuò)大到100g，數(shù)據(jù)量將越來越多。攻擊者的IP也是偽造的，反向?qū)κ芎P造成DNS流量放大攻擊，檢查服務(wù)器的CPU在80到99之間是否占用到100，可以看出返回包中的遞歸數(shù)據(jù)是否為1，ant參數(shù)的合法值。包的大小也可以看出攻擊的特點(diǎn)。

DNS流量攻擊都是利用攻擊者的帶寬和網(wǎng)站服務(wù)器的帶寬之差進(jìn)行的。當(dāng)攻擊者的帶寬和攻擊次數(shù)增加時(shí)，會對服務(wù)器產(chǎn)生影響。發(fā)送一個(gè)請求查詢包，通常發(fā)送一個(gè)請求，它會放大到10個(gè)請求。攻擊者數(shù)量越多，流量就越大，被攻擊的網(wǎng)站和服務(wù)器將無法承載這么多帶寬。

網(wǎng)站和服務(wù)器的運(yùn)營商使用的帶寬是有限的，一般在1-50米左右，有的在100米左右，但當(dāng)他們受到大流量攻擊時(shí)，他們根本無法承受，然后服務(wù)器癱瘓。一般的安全策略是使用服務(wù)器的硬件防火墻來抵御流量攻擊。另一種是利用CDN隱藏服務(wù)器的真實(shí)IP，讓CDN共享流量攻擊，如果你對流量攻擊保護(hù)不太了解，可以找專業(yè)的網(wǎng)站安全公司來處理。