标签:dns ddos
前言:DNS系统作为互联网的核心服务,承担着域名与IP地址对应关系的解析工作,互联网绝大多数应用都采用域名作为主要的寻址方式,而域名作为互联网上的身份标识,是不可重复的唯一标识资源,互联网的全球化使得域名成为标识一国主权的国家战略资源。
本文作者具备多年的DNS系统建设和维护经验,试图通过本文详细介绍DNS DDOS攻击的原因,分类,攻击方式和防护措施。
一、DNS DDOS概述
1.1 什么是DNS DDOS攻击
DDOS的含义是分布式拒绝服务攻击,拒绝服务是目标,分布式是攻击模式,DNS DDOS攻击就是采取一切可能的办法,使DNS系统无法为正常用户提供服务。例如,服务器瘫痪,网络拥塞,域名失效。
1.2 DNS DDOS攻击的后果
DNS是互联网的核心服务,DNS DDOS攻击导致的后果,小到使一个专线用户甚至网吧无法上网,大到可以使一个著名网站瘫痪,一个省,国家,甚至世界范围内的互联网瘫痪。
1.3 DNS DDOS攻击的原因
俗话说,”无利不起早”,经济利益是导火索,游戏私服、***,电子商务、甚至网吧之间的恶意竞争,都是导致DNS DDOS攻击的首要原因。
其次,由于域名已成为标识一国主权的国家战略资源,国家之间的主权之争也必然会围绕DNS而展开。
1.4 为什么DNS是黑客首选攻击目标
目标明确:绝大多数应用都采用域名作为主要的寻址方式,域名瘫痪即服务瘫痪;
云计算和CDN:DNS是云计算和CDN实现的基础,攻击DNS也就是攻击云计算和CDN网络
开放的系统:DNS系统必须是开放且不间断服务的,任何人都可以对DNS系统发起域名请求;
技术门槛低:DNS攻击软件随处可得,一个小小软件就能发起DDOS攻击;
隐蔽性:DNS采用UDP协议,可以很好的隐蔽自己不被追溯;
高破坏性:DNS系统不仅仅为单个用户或域名服务,DNS系统的瘫痪会影响大量的用户和网站;
1.5 为什么DNS DDOS攻击难以防范
开放性:开放系统决定了DNS必须无条件接纳所有用户请求,包括DDOS攻击;
难以识别性:DNS的攻击报文都是正常的DNSUDP请求,普通DDOS防护设备难以识别;
多重攻击方式:通过多种方式来消耗DNS服务器的服务器资源和带宽资源;
连带损害性:某个单一DNS服务器或域名的瘫痪都有可能造成其他DNS系统的瘫痪,多米诺骨牌随时可能崩塌;
待续:下节阐述DNS DDOS的攻击类型
本文出自 “稻草人花园” 博客,请务必保留此出处http://dcrhy.blog.51cto.com/10404722/1660788
标签:dns ddos
原文地址:http://dcrhy.blog.51cto.com/10404722/1660788
