屏蔽主动发送的DNS响应信息缓解DDOS攻击怎么做?
DNS主要使用的是UDP协议,但是在某些特殊情况下,DNS也会根据网络环境选择使用TCP协议。因为攻击者在对目标服务器进行分布式拒绝服务攻击的过程中,非常喜欢使用UDP/DNS协议。
由于DNS协议是一个十分重要的网络协议,对于网络从业人员而言,其高可用性是最重要的考虑因素。为了打破该协议的可用性,恶意攻击者可以向DNS解析器发送大量伪造的查询请求。值得注意的是,目前互联网中存在着上百万开放的DNS解析器,其中还有很多属于家庭网关。DNS解析器会认为这些伪造的查询请求是真实有效的,并且会对这些请求进行处理,在处理完成之后,便会向请求源返回DNS响应信息。如果查询请求的数量非常的多,DNS服务器很有可能会发送大量的DNS响应信息。这也就是我们常说的放大攻击,因为这种方法利用的是DNS解析器中的错误配置。如果DNS服务器的配置出现错误,那么DNS解析器很可能会在接收到一个非常小的DNS查询请求之后,向目标主机返回大量的payload。在另一种类型的攻击中,攻击者还可以通过向DNS服务器发送不符合规则的查询请求来进行攻击。
一个典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。但值得注意的是,响应信息是不会主动发送的。
攻击者需要在请求信息抵达DNS解析器之前部署FortiDDoS,它可以作为一个开放的DNS解析器,或者作为DNS查询请求的查询服务器。
这是一种内嵌于网络中的设备,它每秒可以处理数百万次查询请求,而且还可以将查询信息和相对应的响应信息记录在内存表之中。
如果服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,那么服务器就应该直接丢弃这一响应信息。这种机制能够有效地缓解反射攻击所带来的影响。