V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
piaoliu
V2EX  ›  DNS

关于 DNS 防护的疑问

  •  
  •   piaoliu · 2016-12-18 11:24:44 +08:00 · 4713 次点击
    这是一个创建于 2926 天前的主题,其中的信息可能已经有所发展或是发生改变。

    小白疑问:阿里云或者 dnsprod 提供的 dns 防护功能,是指对异常 dns 查询提供一定流量的阻挡么?不太明白攻击 dns 服务器的意义,直接打 ip 不就行了?而且攻击 dns 是会影响同一 ns 下其他域名的解析的吧,单独对某一个域名限流量有用么?。。

    7 条回复    2016-12-21 11:32:57 +08:00
    Syc
        1
    Syc  
       2016-12-18 12:01:55 +08:00 via Android
    DDoS 中有通过 NS 服务器进行 DNS 中转并放大攻击的办法。
    qcloud
        2
    qcloud  
       2016-12-18 12:16:17 +08:00 via iPhone
    每家 DNS 都会有一个 QPS 值,如果 QPS 查询攻击超过了防护值,就会停止解析
    lhbc
        3
    lhbc  
       2016-12-18 12:45:48 +08:00
    针对授权 DNS 的攻击有多种方法

    通常不会打非 53 的 UDP ,或者 TCP 流量,因为这些可以在上层过滤
    并且,从这些攻击流量很可能无法识别攻击目标是谁,授权 DNS 只能死扛,否则就影响整体业务

    所以,攻击者为了达到最佳效果,通常会打 DNS query
    piaoliu
        4
    piaoliu  
    OP
       2016-12-18 12:51:54 +08:00 via iPhone
    @qcloud qps 这个明白了 那像阿里云 dns 提供 2G 流量的防护,也是类似的意思吗?
    qcloud
        5
    qcloud  
       2016-12-18 12:57:31 +08:00   ❤️ 2
    johnjiang85
        6
    johnjiang85  
       2016-12-19 10:21:54 +08:00   ❤️ 1
    @lhbc 明白人,攻击者的真实目的是让 DNS 停止攻击域名的解析,真的打挂 DNS 对攻击者并没有什么好处,所以 DNS query 肯定会打,以便让 DNS 服务商识别到哪个域名被攻击,从而处理被攻击的域名。
    不过单纯的 DNS Query Flood 对传统 DNS 也许有效,但是随着 DPDK 和众核在 DNS 解析程序的普及,大家的包处理能力都高到爆表了,对现在的各种高防 DNS 基本没什么效果,所以更常见的方式是 DNS Query 和带宽流量型攻击的混合方式攻击,就是打爆你的带宽, DNS Query Flood 也就剩下让你知道打的是哪个域名的作用了。
    nanjishidu
        7
    nanjishidu  
       2016-12-21 11:32:57 +08:00
    dnspod 是针对权威域名进行解析的,默认只接受 tcp 和 udp 53 的请求,同时将递归解析的域名拒绝查询。而针对权威域名的解析就会进行阀值限制。限制 IP 可能走的防火。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   931 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:35 · PVG 03:35 · LAX 11:35 · JFK 14:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.