DNS(域名解析系統)是將域名解析成對應的IP地址,以方便人們更好的記憶與該網站對應的域名來訪問網站。DDOS(分散式拒絕服務)攻擊是將多個傀儡機聯合起來對某一個或多個目標進行攻擊,達到目標計算機或網路無法提供正常的服務的目的。
簡單來說,最常見的基於DNS類的DDOS攻擊就是攻擊者利用多臺傀儡機對目標DNS伺服器傳送大量請求,達到目標DNS伺服器無法進行正常對請求進行解析迴應的目的。
DNS作為最大最複雜的分散式資料庫系統,由於自身開放性、複雜性等特點,造成DNS系統面臨非常嚴重的安全威脅,各個DNS服務提供者要如何保證自身服務的正常執行呢?下面喲喲來簡單介紹幾個防禦方法:
利用高效能的DNS快取工具,若請求能命中快取列表時,即利用快取來進行響應,有效的降低DNS伺服器的負載。
若客戶端傳送的解析請求報文丟失,客戶端不會在短時間內向同一DNS伺服器傳送同樣的解析請求報文,那麼伺服器端可以針對在一定時間段內同一IP傳送同一目標的同一解析請求報文進行丟棄操作。
一般是由於客戶端配置錯誤,或偽代理伺服器傳送而出現的大流量的請求,直接進行丟棄操作即可。
可以提升DNS伺服器機房的響應頻寬來應對攻擊者大流量的DDOS攻擊,簡單來說,若攻擊頻寬為100G,那麼機房響應頻寬為200G的話,就可以完全防禦此次攻擊。
總之,最有效的預防基於DNS的DDOS攻擊的方法還是對DNS伺服器機房進行升級,提升響應頻寬來避免一切大流量的攻擊。
DNS(域名解析系統)是將域名解析成對應的IP地址,以方便人們更好的記憶與該網站對應的域名來訪問網站。DDOS(分散式拒絕服務)攻擊是將多個傀儡機聯合起來對某一個或多個目標進行攻擊,達到目標計算機或網路無法提供正常的服務的目的。
簡單來說,最常見的基於DNS類的DDOS攻擊就是攻擊者利用多臺傀儡機對目標DNS伺服器傳送大量請求,達到目標DNS伺服器無法進行正常對請求進行解析迴應的目的。
DNS作為最大最複雜的分散式資料庫系統,由於自身開放性、複雜性等特點,造成DNS系統面臨非常嚴重的安全威脅,各個DNS服務提供者要如何保證自身服務的正常執行呢?下面喲喲來簡單介紹幾個防禦方法:
1、利用快取來避免DNS伺服器過載利用高效能的DNS快取工具,若請求能命中快取列表時,即利用快取來進行響應,有效的降低DNS伺服器的負載。
2、丟棄快速重傳的請求報文若客戶端傳送的解析請求報文丟失,客戶端不會在短時間內向同一DNS伺服器傳送同樣的解析請求報文,那麼伺服器端可以針對在一定時間段內同一IP傳送同一目標的同一解析請求報文進行丟棄操作。
3、丟棄未請求的報文一般是由於客戶端配置錯誤,或偽代理伺服器傳送而出現的大流量的請求,直接進行丟棄操作即可。
4、提升頻寬可以提升DNS伺服器機房的響應頻寬來應對攻擊者大流量的DDOS攻擊,簡單來說,若攻擊頻寬為100G,那麼機房響應頻寬為200G的話,就可以完全防禦此次攻擊。
總之,最有效的預防基於DNS的DDOS攻擊的方法還是對DNS伺服器機房進行升級,提升響應頻寬來避免一切大流量的攻擊。