2020年，據(jù)全球DNS威脅報(bào)告顯示，全球約有79%的公司遭遇過(guò)DNS攻擊，所有行業(yè)組織平均遭受過(guò)9.5次DNS攻擊。由此看來(lái)，DNS攻擊似乎“永無(wú)止境”，能應(yīng)對(duì)DNS攻擊也是全球各行各業(yè)更大網(wǎng)站所需要掌握的技能。

而且，隨著技術(shù)的發(fā)展，黑客的攻擊手段也復(fù)雜多變，到底有哪些DNS攻擊方式呢?面對(duì)不同的DNS攻擊方式，我們又該如何處理?有哪些處理措施?下面聚名網(wǎng)小編就跟大家聊聊DNS攻擊方式和解決措施。

有哪些DNS攻擊方式?再細(xì)說(shuō)對(duì)應(yīng)的處理措施（推薦閱讀：聚名DNS：修改DNS能優(yōu)化網(wǎng)站打開(kāi)速度嗎?）

1、DDoS攻擊

簡(jiǎn)單來(lái)說(shuō)，DDoS攻擊就是在同一時(shí)間內(nèi)向網(wǎng)站域名服務(wù)器發(fā)送超量DNS請(qǐng)求，以此來(lái)堵塞DNS服務(wù)器，讓其無(wú)法響應(yīng)，導(dǎo)致用戶不能訪問(wèn)站點(diǎn)。

舉個(gè)例子，某個(gè)線下店同一時(shí)間段只能接待50名客戶。這時(shí)有人雇傭了200人到該門店，此時(shí)，想消費(fèi)的正常用戶就不能再進(jìn)入門店了。

對(duì)于DDoS攻擊，可以使用基于硬件的網(wǎng)絡(luò)設(shè)備或云服務(wù)解決方案可以過(guò)濾或限制網(wǎng)絡(luò)流量。

2、IP欺騙

DNS默認(rèn)依賴UDP協(xié)議，但由于UDP本身的特性，只需偽造數(shù)據(jù)包的IP地址，便可以輕易將源IP換成隨機(jī)IP。此時(shí)，即便攔截IP地址也無(wú)解決不了。這就需要使用DNS緩存服務(wù)器吸收大部分的DNS流量。

不過(guò)，DDoS攻擊者通常使用不存在的域名以確保解析器會(huì)轉(zhuǎn)發(fā)請(qǐng)求，對(duì)此，可以考慮如下措施：如果傳入請(qǐng)求的總數(shù)量超過(guò)閾值，則要求客戶端從UDP切換到TCP。切換后，由于TC 需要三次握手，則可以避免源IP欺騙。

3、反射型DDoS

除了源IP，攻擊者還會(huì)攻擊目的地 IP。也就是說(shuō)攻擊者利用能觸發(fā)大量DNS回答的DNS請(qǐng)求，以放大DDoS的影響，從而擴(kuò)大傷害。而且這時(shí)，合法的DNS服務(wù)器還會(huì)協(xié)助攻擊。

對(duì)此，就需要限制同一IP地址的DNS請(qǐng)求/回答速率。因?yàn)镈NS解析器會(huì)使用緩存，所以請(qǐng)求轉(zhuǎn)發(fā)率會(huì)降低，能有效防御反射型DDoS攻擊。

4、緩存投毒

緩存投毒的目的是將訪客從真正的網(wǎng)站重定向到惡意網(wǎng)站。對(duì)此，可以使用 DNSSEC，DNSSEC 通過(guò)提供簽名過(guò)的 DNS 回答來(lái)阻止這類攻擊。

此外，建議對(duì)每條請(qǐng)求使用隨機(jī)查詢ID、對(duì)每條請(qǐng)求使用隨機(jī)源端口、丟棄重復(fù)的轉(zhuǎn)發(fā)請(qǐng)求并確保響應(yīng)中所有區(qū)域均與請(qǐng)求相符合：query ID、name、class 和 type。

以上就是對(duì)“有哪些DNS攻擊方式?再細(xì)說(shuō)對(duì)應(yīng)的處理措施”的全部介紹了。