DNS洪水是一种分布式拒绝服务攻击,也叫ddos攻击,攻击者将属于给定区域的一个或多个域名系统DNS作为目标,试图阻碍对该区域及其子区域资源记录的解析。
DNS服务器是能够帮助请求者找到他们所寻求的服务器的互联网路线图。DSN区域是在域名系统中域名空间的一部分。对于每个区域而言,会将管理责任委派给单个的服务器集群。
在DNS洪水攻击中,攻击者通过明显有效的流量对一个给定的DSN服务器进行饱和攻击,耗尽服务器资源并阻碍服务器将合法请求引导到区域资源。
DNS洪水攻击与DNS放大攻击有明显区别。DNS放大是一种非对称的 DDoS攻击,其中,攻击者向外发出带有虚假目标IP的较小的查询请求,使得被欺骗目标成为更大DNS响应的接收者。利用这些攻击,攻击者达到其目的:通过持续消耗带宽容量而使网络饱和。
DNS 洪水是一种对称的DDoS攻击。这些攻击试图通过大量的UDP请求耗尽服务器端资源(例如:内存或CPU),这种攻击是由脚本运行若干受感染的僵尸网络设备而发起的。
为了利用DNS洪水攻击DNS服务器,攻击者通常从多个服务器上运行脚本。这些脚本从伪装的IP地址发送格式错误的数据包。 像DNS洪水这样的第7层攻击并不要求有效的响应,攻击者可以发送既不准确且格式也不正确的数据包。攻击者可以伪造所有的数据包信息,包括源IP,造成攻击是来自多重来源的假象。数据包资料的随机化还有助于攻击者规避常见的DDoS为了利用DNS洪水攻击DNS服务器,攻击者通常从多个服务器上运行脚本。这些脚本从伪装的IP地址发送格式错误的数据包。 像DNS洪水这样的第7层攻击并不要求有效的响应,攻击者可以发送既不准确且格式也不正确的数据包。另一种常见的DNS洪水攻击类型是DNS NXDOMAIN洪水攻击,攻击者通过一些不存在或无效的记录请求淹没DNS服务器。 DNS服务器消耗其所有的资源寻找这些记录,其缓存充满了此类恶意请求,最终耗尽其用于接收合法请求的资源。防御机制,使IP过滤(例如:使用 Linux IPtables)完全失效。