通过Spamhaus事件认识DNS反射放大***

大家是否还记得Spamhaus遭受到严重的DDoS***事件?3月26日，欧洲反垃圾邮件组织Spamhaus对外宣称遭受300G流量的 DDoS***，最后在专业抗DDoS服务商CloudFlare公司的帮助下化解。此次***规模之巨堪称史无前例，并且在事件细节上还上演了一幕罗生门。有专业人士分析，此次***使用了DNS反射放大***，因而才产生如此巨大的流量。那么， DNS反射放大***是怎么一回事呢?
DNS反射放大***针对开放式DNS服务系统，利用协议的安全漏洞进行拒绝访问***。***者利用僵尸网络向DNS服务器发送DNS请求，并将请求数据包的源地址设置为受害者地址。
在Spamhaus事件中，***者发出的DNS请求数据包为36 bytes，而DNS服务器的响应数据包长为3000 bytes。***者就是利用这种方式，将***流量放大了近100倍。***者伪装来自Spamhaus向DNS系统发起请求，之后依靠返回的响应包对 Spamhaus发起***，使得合法用户不能访问到Spamhaus的网站系统。
可以看到，开放式递归DNS服务器在***中起了很大的 “作用”。事实上它的确是网络中脆弱的一环，因其协议漏洞所致。但这并不意味着面对类似***的时候只能素手就擒，合理的配置也能在一定程度上补救：通过配置仅对本地查询做回应，可以在阻止分布式的僵尸网络的部分***。在Spamhaus事件中，递归DNS服务器没有将仅对本地查询做回应放到配置里，而是对任何来自系统的请求进行回应，使得伪造的源地址被全部响应。
DNS反射放大***的本质依然是网络资源和系统资源的消耗战，回顾 Spamhaus事件的***细节可以看到，面对来自僵尸网络的分布式***，CloudFlare将***流量分散到几十个彼此独立的数据中心去处理。看来，对付这一类***，还得让它再回到人民战争的汪洋中去。

【转载自：iHk-system.com|寻访诸神的网站】