DDoS攻击滥用DNS服务

分布式拒绝服务(DDoS)攻击对组织吸引、留住客户以及与客户交互的能力构成严重威胁。简单地说，DDoS攻击的目的是通过恶意流量淹没底层基础设施，使合法用户无法访问组织的web。

传统的DDoS攻击正变得越来越便宜和容易。物联网(IoT)的兴起和云计算的增长意味着网络犯罪分子很容易获得大量与互联网相连的计算能力。这些僵尸网络的任务是向网站发送恶意请求，其数量超过了web服务器的承受能力。

然而，廉价且易于获取的计算能力的增长并不是DDoS威胁格局演变的唯一方式。网络犯罪分子也在利用新的工具和技术进行攻击。这种技术的一个例子是NXNSAttack。这种攻击利用递归DNS (Domain Name System)服务器的特性，对受害者的DNS服务器进行DDoS攻击。如果此DNS服务器不落后于健壮性DDoS保护它可能会变得不堪重负，导致合法用户无法访问该组织的网站。

DNS基础设施的重要性

在使用互联网时，大多数人不会输入他们要访问的计算机的IP地址。相反，他们会输入域名或URL，比如google.com。然而，这些IP地址是客户端计算机和源计算机和目标计算机之间路径上的路由器所需要的，以确保流量到达预定的目的地。

DNS是一种互联网协议，可以将域名转换为IP地址。DNS基础结构被组织成一个服务器层次结构，旨在处理某个域的查询。这意味着要解析一个特定网站的URL可能需要向多个DNS服务器请求(即。com, google.com等)。为了让用户能够访问网站，他们需要能够将其URL转换为托管它的服务器的IP地址。这要求每个解析地址所需的DNS服务器都是在线的，并且可以被计算机访问。

的2016年针对Dyn的DDoS攻击一个主要的DNS供应商，演示了DDoS攻击对DNS基础设施的潜在影响。在攻击期间，承载Dyn托管DNS服务的服务器受到Mirai僵尸网络的几次DDoS攻击。虽然该服务最终能够克服攻击，但在攻击期间，由于该服务无法解析合法用户的DNS请求，很大一部分互联网变得不可访问。

DNS系统用于DDoS攻击

针对DNS基础设施的DDoS攻击并不是什么新鲜事，2016年针对Dyn的DDoS攻击就证明了这一点，但DDoS攻击与DNS服务之间的关系并不总是攻击者和目标之间的关系。一些DDoS攻击的目的是利用DNS服务来扩大攻击的影响。一个最近发现的攻击利用了DNS基础设施的分层结构。递归DNS服务器旨在将DNS请求传递给位于上游的授权服务器，以将域名解析为IP地址。这些授权服务器还能够将此权限委托给其他DNS服务器。

新的攻击利用这一功能来执行DDoS攻击。在这种攻击中，攻击者会向授权的DNS服务器发送DNS请求，而授权的DNS服务器是攻击者控制的DNS服务器。在收到请求后，攻击者的DNS服务器将指示递归DNS服务器将此权限委托给受害者域中的一长串假DNS服务器。为了解析请求，递归DNS服务器将在受害者的DNS服务器中查询每个假定的DNS服务器。结果，受害者的DNS服务器受到来自递归DNS服务器的大量流量的攻击，降低了其解析合法DNS请求的能力。

如果受害者的DNS服务器无法处理请求，那么试图访问受害者域内网站的访问者就无法将其url转换为受害者网络服务器的IP地址。因此，受害者的网站可能会完全无法访问，并且，如果访问这些服务依赖于公司DNS服务器，员工可能会失去对公司内部网内部服务的访问。

防范DDoS攻击

一个组织的网络存在对其开展业务的能力至关重要。消费者越来越喜欢在网上浏览和购物，而不是去实体店。此外，许多组织正在将部分或全部客户服务功能转移到他们的网站上，因为它提供了增加的可伸缩性。

网络犯罪分子有几种不同的方法可以通过DDoS攻击使网站脱机。攻击者可以通过向web应用程序发送请求直接攻击网站，也可以针对网站依赖的DNS基础设施将访问者的流量路由到其web服务器。随着DDoS攻击变得更加容易和廉价，它们可能会变得更加普遍。确保公司网站的可用性需要部署强大的DDoS缓解解决方案，能够识别和阻止一系列不同的DDoS攻击。