有哪些DNS攻擊方式?再細(xì)說對應(yīng)的處理措施

2020年，據(jù)全球DNS威脅報(bào)告顯示，全球約有79%的公司遭遇過DNS攻擊，所有行業(yè)組織平均遭受過9.5次DNS攻擊。由此看來，DNS攻擊似乎“永無止境”，能應(yīng)對DNS攻擊也是全球各行各業(yè)更大網(wǎng)站所需要掌握的技能。

而且，隨著技術(shù)的發(fā)展，黑客的攻擊手段也復(fù)雜多變，到底有哪些DNS攻擊方式呢?面對不同的DNS攻擊方式，我們又該如何處理?有哪些處理措施?下面聚名網(wǎng)小編就跟大家聊聊
DNS攻擊方式和解決措施
。


有哪些DNS攻擊方式?再細(xì)說對應(yīng)的處理措施（推薦閱讀：
聚名DNS：修改DNS能優(yōu)化網(wǎng)站打開速度嗎?
）

1、DDoS攻擊

簡單來說，DDoS攻擊就是在同一時(shí)間內(nèi)向網(wǎng)站域名服務(wù)器發(fā)送超量DNS請求，以此來堵塞DNS服務(wù)器，讓其無法響應(yīng)，導(dǎo)致用戶不能訪問站點(diǎn)。

舉個(gè)例子，某個(gè)線下店同一時(shí)間段只能接待50名客戶。這時(shí)有人雇傭了200人到該門店，此時(shí)，想消費(fèi)的正常用戶就不能再進(jìn)入門店了。

對于DDoS攻擊，可以使用基于硬件的網(wǎng)絡(luò)設(shè)備或云服務(wù)解決方案可以過濾或限制網(wǎng)絡(luò)流量。

2、IP欺騙

DNS默認(rèn)依賴UDP協(xié)議，但由于UDP本身的特性，只需偽造數(shù)據(jù)包的IP地址，便可以輕易將源IP換成隨機(jī)IP。此時(shí)，即便攔截IP地址也無解決不了。這就需要使用DNS緩存服務(wù)器吸收大部分的DNS流量。

不過，DDoS攻擊者通常使用不存在的域名以確保解析器會(huì)轉(zhuǎn)發(fā)請求，對此，可以考慮如下措施：如果傳入請求的總數(shù)量超過閾值，則要求客戶端從UDP切換到TCP。切換后，由于TC 需要三次握手，則可以避免源IP欺騙。

3、反射型DDoS

除了源IP，攻擊者還會(huì)攻擊目的地 IP。也就是說攻擊者利用能觸發(fā)大量DNS回答的DNS請求，以放大DDoS的影響，從而擴(kuò)大傷害。而且這時(shí)，合法的DNS服務(wù)器還會(huì)協(xié)助攻擊。

對此，就需要限制同一IP地址的DNS請求/回答速率。因?yàn)镈NS解析器會(huì)使用緩存，所以請求轉(zhuǎn)發(fā)率會(huì)降低，能有效防御反射型DDoS攻擊。

4、緩存投毒

緩存投毒的目的是將訪客從真正的網(wǎng)站重定向到惡意網(wǎng)站。對此，可以使用 DNSSEC，DNSSEC 通過提供簽名過的 DNS 回答來阻止這類攻擊。

此外，建議對每條請求使用隨機(jī)查詢ID、對每條請求使用隨機(jī)源端口、丟棄重復(fù)的轉(zhuǎn)發(fā)請求并確保響應(yīng)中所有區(qū)域均與請求相符合：query ID、name、class 和 type。

以上就是對“有哪些DNS攻擊方式?再細(xì)說對應(yīng)的處理措施”的全部介紹了。