What is a DNS flood? | DNS flood DDoS attack

A DNS flood is a DDoS attack that aims to flood and overwhelm a target DNS server.

學習目標

閱讀本文後,您將能夠:

  • 定義 DNS 洪水和 DDoS 攻擊
  • 了解 DNS 洪水攻擊如何導致目標無法工作
  • 了解緩解 DNS 洪水攻擊的方法

複製文章連結

什麼是 DNS 洪水?

網域名稱系統(DNS)伺服器是網際網路的「電話簿」;網際網路設備通過這些伺服器來查找特定 Web 伺服器以便訪問網際網路內容。DNS 洪水攻擊是一種分散式阻斷服務(DDoS)攻擊,攻擊者用大量流量淹沒某個域的 DNS 伺服器,以嘗試中斷該的 DNS 解析。如果使用者無法找到電話簿,就無法查找到用於調用特定資源的位址。通過中斷 DNS 解析,DNS 洪水攻擊將破壞網站、API 或 Web 應用程式回應合法流量的能力。很難將 DNS 洪水攻擊與正常的大流量區分開來,因為這些大規模流量往往來自多個唯一位址,查詢該域的真實記錄,模仿合法流量。

DNS 洪水攻擊的原理?

DNS 洪水 DDoS 攻擊示意圖

網域名稱系統的功能是將易於記憶的名稱(例如example.com)轉換成難以記住的網站伺服器位址(例如192.168.0.1),因此成功攻擊 DNS 基礎設施將導致大多數人無法使用網際網路。DNS 洪水攻擊是一種相對較新的基於 DNS 的攻擊,這種攻擊是在高頻寬物聯網(IoT)僵屍網路(如 Mirai)興起後激增的。DNS 洪水攻擊使用 IP 攝像頭、DVR 盒和其他 IoT 設備的高頻寬連接直接淹沒主要提供商的 DNS 伺服器。來自 IoT 設備的大量請求淹沒 DNS 提供商的服務,阻止合法使用者訪問提供商的 DNS 伺服器。

DNS 洪水攻擊不同於 DNS 放大攻擊。與 DNS 洪水攻擊不同,DNS 放大攻擊反射並放大不安全 DNS 伺服器的流量,以便隱藏攻擊的來源並增加攻擊的有效性。DNS 放大攻擊使用連接頻寬較小的設備向不安全的 DNS 伺服器發送無數請求。這些設備對非常大的 DNS 記錄發出小型請求,但在發出請求時,攻擊者將返回位址偽造為目標受害者。這種放大效果讓攻擊者能借助有限的攻擊資源來破壞較大的目標。

如何緩解 DNS 洪水攻擊?

DNS 洪水對傳統上基於放大的攻擊方法做出了改變。借助輕易獲得的高頻寬僵屍網路,攻擊者現能針對大型組織發動攻擊。除非被破壞的 IoT 設備得以更新或替換,否則抵禦這些攻擊的唯一方法是使用一個超大型、高度分散式的 DNS 系統,以便即時監測、吸收和阻止攻擊流量。進一步瞭解 Cloudflare 的 DDoS 防護如何防禦 DNS 洪水攻擊。