小白疑问:阿里云或者 dnsprod 提供的 dns 防护功能,是指对异常 dns 查询提供一定流量的阻挡么?不太明白攻击 dns 服务器的意义,直接打 ip 不就行了?而且攻击 dns 是会影响同一 ns 下其他域名的解析的吧,单独对某一个域名限流量有用么?。。
1
Syc 2016-12-18 12:01:55 +08:00 via Android
DDoS 中有通过 NS 服务器进行 DNS 中转并放大攻击的办法。
|
2
qcloud 2016-12-18 12:16:17 +08:00 via iPhone
每家 DNS 都会有一个 QPS 值,如果 QPS 查询攻击超过了防护值,就会停止解析
|
3
lhbc 2016-12-18 12:45:48 +08:00
针对授权 DNS 的攻击有多种方法
通常不会打非 53 的 UDP ,或者 TCP 流量,因为这些可以在上层过滤 并且,从这些攻击流量很可能无法识别攻击目标是谁,授权 DNS 只能死扛,否则就影响整体业务 所以,攻击者为了达到最佳效果,通常会打 DNS query |
4
piaoliu OP @qcloud qps 这个明白了 那像阿里云 dns 提供 2G 流量的防护,也是类似的意思吗?
|
5
qcloud 2016-12-18 12:57:31 +08:00 2
|
6
johnjiang85 2016-12-19 10:21:54 +08:00 1
@lhbc 明白人,攻击者的真实目的是让 DNS 停止攻击域名的解析,真的打挂 DNS 对攻击者并没有什么好处,所以 DNS query 肯定会打,以便让 DNS 服务商识别到哪个域名被攻击,从而处理被攻击的域名。
不过单纯的 DNS Query Flood 对传统 DNS 也许有效,但是随着 DPDK 和众核在 DNS 解析程序的普及,大家的包处理能力都高到爆表了,对现在的各种高防 DNS 基本没什么效果,所以更常见的方式是 DNS Query 和带宽流量型攻击的混合方式攻击,就是打爆你的带宽, DNS Query Flood 也就剩下让你知道打的是哪个域名的作用了。 |
7
nanjishidu 2016-12-21 11:32:57 +08:00
dnspod 是针对权威域名进行解析的,默认只接受 tcp 和 udp 53 的请求,同时将递归解析的域名拒绝查询。而针对权威域名的解析就会进行阀值限制。限制 IP 可能走的防火。。
|