Dns是一個十分重要的網(wǎng)絡(luò)協(xié)議，具有非常高的可用性。為了打破該協(xié)議的可用性，攻擊者可以向DNS解析器發(fā)送大量的偽造的查詢請求。對于dns的攻擊一般是對服務(wù)器發(fā)送大量的查詢請求，還有就是攻擊者也有可能發(fā)送一些不符合查詢請求來進(jìn)行攻擊。那么怎樣可以避免這種攻擊呢，其實(shí)很簡單，本文中為大家提供5種緩解攻擊的方法。

一、屏蔽主動發(fā)送的DNS響應(yīng)信息

一個典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發(fā)送至DNS服務(wù)器中，在DNS服務(wù)器對查詢請求進(jìn)行處理之后，服務(wù)器會將響應(yīng)信息返回給DNS解析器。但值得注意的是，響應(yīng)信息是不會主動發(fā)送的。

攻擊者需要在請求信息抵達(dá)DNS解析器之前部署FortiDDoS，它可以作為一個開放的DNS解析器，或者作為DNS查詢請求的查詢服務(wù)器。這是一種內(nèi)嵌于網(wǎng)絡(luò)中的設(shè)備，它每秒可以處理數(shù)百萬次查詢請求，而且還可以將查詢信息和相對應(yīng)的響應(yīng)信息記錄在內(nèi)存表之中。

如果服務(wù)器在沒有接收到查詢請求之前，就已經(jīng)生成了對應(yīng)的響應(yīng)信息，那么服務(wù)器就應(yīng)該直接丟棄這一響應(yīng)信息。這種機(jī)制能夠有效地緩解反射攻擊所帶來的影響。

二、丟棄快速重傳數(shù)據(jù)包

即便是在數(shù)據(jù)包丟失的情況下，任何合法的DNS客戶端都不會在較短的時間間隔內(nèi)向同一DNS服務(wù)器發(fā)送相同的DNS查詢請求。因此，如果從相同源地址發(fā)送至同一目標(biāo)地址的相同查詢請求發(fā)送頻率過高，那么服務(wù)器必須將這些請求數(shù)據(jù)包丟棄。

三、如果DNS服務(wù)器已經(jīng)將響應(yīng)信息成功發(fā)送了，那么就應(yīng)該禁止服務(wù)器在較短的時間間隔內(nèi)對相同的查詢請求信息進(jìn)行響應(yīng)－啟用TTL

對于一個合法的DNS客戶端而言，如果它接收到了響應(yīng)信息，那么它就不會再次發(fā)送相同的查詢請求。如果數(shù)據(jù)包的TTL生存時間到了，那么系統(tǒng)應(yīng)該對每一個響應(yīng)信息進(jìn)行緩存處理。當(dāng)攻擊者通過大量查詢請求來對DNS服務(wù)器進(jìn)行攻擊時，我們就可以屏蔽掉不需要的數(shù)據(jù)包了。

四、丟棄未知來源的DNS查詢請求和響應(yīng)數(shù)據(jù)

通常情況下，攻擊者會利用腳本來對目標(biāo)進(jìn)行分布式拒絕服務(wù)攻擊（DDoS攻擊），而且這些腳本通常針對的都是軟件中的漏洞。因此，如果我們能夠在服務(wù)器中部署簡單的匿名檢測機(jī)制，我們就可以限制傳入服務(wù)器的數(shù)據(jù)包數(shù)量了。

五、如果你此前從未見過這類DNS請求，請立刻丟棄這一數(shù)據(jù)包

這類請求信息很可能是由偽造的代理服務(wù)器所發(fā)送的，或者是由于客戶端配置錯誤，也有可能是開發(fā)人員用于調(diào)試的請求信息。但是我們應(yīng)該知道，這也有可能是攻擊者發(fā)送的。所以無論是哪一種情況，都應(yīng)該直接丟棄這類數(shù)據(jù)包。

創(chuàng)建一個白名單，在其中添加允許服務(wù)器處理的合法請求信息。

白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數(shù)據(jù)包。

這種方法能夠有效地保護(hù)你的服務(wù)器不受泛洪攻擊的威脅。

除此之外，這種方法也可以保證合法的域名服務(wù)器只對合法的DNS查詢請求進(jìn)行處理和響應(yīng)。

為了更好的保護(hù)我們這些基礎(chǔ)設(shè)置，我們可以用上面的這幾種方法緩解攻擊，防患于未然，對自己所提供的服務(wù)盡量滿足客戶的需求。

cc

收藏 海報分享