在網(wǎng)絡(luò)的發(fā)展史里有個名詞相信大家都不陌生，那就是"分布式拒絕服務(wù)（DDoS--Distributed Denial of Service） 攻擊"。隨著IT及網(wǎng)絡(luò)的發(fā)展演進至今，DDoS攻擊形勢愈加嚴(yán)峻，單次攻擊流量超過100G的案例已經(jīng)發(fā)生，全球僵尸主機規(guī)模已經(jīng)超過3000萬臺……隨處可以獲得的攻擊工具，龐大的僵尸網(wǎng)絡(luò)群體，發(fā)動一次DDoS攻擊不再需要任何黑客技術(shù)門檻，只需要3步（下載攻擊工具、購買僵尸主機，發(fā)動攻擊）即可完成一次攻擊。

DDoS攻擊主要目的是讓指定目標(biāo)無法提供正常服務(wù)，甚至從互聯(lián)網(wǎng)上消失，是目前最強大、最難防御的攻擊之一。實現(xiàn)DDoS 攻擊的方式有多種，DNS類DDoS攻擊即是其中較為常見的一種攻擊方式。

據(jù)華為安全能力中心統(tǒng)計，針對Web服務(wù)攻擊占攻擊總量的67.71%，攻擊方式主要集中在SYN Flood、HTTP Get Flood、CC 攻擊、重傳攻擊等方面，Web服務(wù)仍是DDOS主要攻擊目標(biāo)。

針對DNS的攻擊占攻擊總量的11.74%，主要以cache miss為目的的DNS query flood攻擊為主，互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)一般都采用大量服務(wù)器組成的集群，相比DNS系統(tǒng)更脆弱。城域網(wǎng)DNS緩存服務(wù)器和大客戶的DNS授權(quán)服務(wù)器都成為重點的攻擊目標(biāo)。針對Mail攻擊以SYN Flood為主，針對在線游戲攻擊則是針對業(yè)務(wù)端口的UDP Flood攻擊為主。

DDoS攻擊次數(shù)比例圖

DDoS攻擊流量比例圖

通過上面兩張比例圖，我們可以清楚的了解到防御DNS類DDoS攻擊是多么重要。下面，本文將針對如何應(yīng)對面向基礎(chǔ)架構(gòu)的DNS類DDoS 攻擊進行深度剖析。

DNS類DDoS攻擊

首先，我們先了解一下DNS（Domain Name System），眾所周知它是域名系統(tǒng)的意思，其作用就是協(xié)調(diào)IP地址和主機名之間的雙向切換。DNS是Internet的基礎(chǔ)架構(gòu)，眾多的網(wǎng)絡(luò)服務(wù)（如：Http、Ftp、Email等等）都是建立在DNS體系基礎(chǔ)之上的。DNS系統(tǒng)中有授權(quán)服務(wù)器和緩存服務(wù)器兩種類型。DNS服務(wù)器的本職就是要向全世界廣播所有他們要解析的域名相關(guān)的記錄。因為用戶更喜歡使用普通的名稱來訪問網(wǎng)絡(luò)，而不是一些數(shù)字，DNS服務(wù)器對用戶在瀏覽器中輸入的內(nèi)容進行翻譯，例如當(dāng)用戶在Web瀏覽器中輸入www.szyisi.cn后，它會翻譯成一個網(wǎng)絡(luò)可以理解的真實的IP地址。

作為互聯(lián)網(wǎng)最基礎(chǔ)、最核心的服務(wù)，DNS自然也是DDoS攻擊的重要目標(biāo)之一。打垮DNS服務(wù)能夠間接打垮一家公司的全部業(yè)務(wù)，或者打垮一個地區(qū)的網(wǎng)絡(luò)服務(wù)。相信大家都記得，在2012年2月，黑客組織Anonymous也曾經(jīng)宣布要對全球互聯(lián)網(wǎng)的13臺根DNS服務(wù)器發(fā)起大規(guī)模的DDoS攻擊，不過最終沒有得手。

針對DNS服務(wù)器的攻擊有多種，如：DNS查詢攻擊；DNS reply flood攻擊；DNS緩存投毒攻擊；DNS協(xié)議漏洞攻擊；Fast flux僵尸網(wǎng)絡(luò)等。

根據(jù)DDoS攻擊次數(shù)比例圖與DDoS攻擊流量比例圖顯示，我們可以看出DNS查詢攻擊占比很重，那么此處我們重點說一下虛假地址的DNS查詢DDoS攻擊。

偽造地址的DNS查詢DDoS攻擊

DNS服務(wù)器是一個保存域名和IP地址映射的數(shù)據(jù)庫，DNS服務(wù)器的解析過程就是DNS在其數(shù)據(jù)庫里進行查找匹配記錄的過程。由于DNS在域名解析時，字符串匹配和數(shù)據(jù)庫查找時開銷較大，DNS查詢DDoS攻擊利用這一特點，通過偽造IP地址向目標(biāo)DNS發(fā)送海量的DNS查詢攻擊包，由于DNS服務(wù)器每秒查詢次數(shù)有限，使得它忙于處理海量的查詢請求數(shù)據(jù)包而形成拒絕服務(wù)攻擊。

我們可以試想一下，如果一個金融機構(gòu)的業(yè)務(wù)系統(tǒng)遭遇了此類攻擊，將會如何？很肯定的說企業(yè)業(yè)務(wù)的正常運營會受到嚴(yán)重影響。金融在線業(yè)務(wù)系統(tǒng)最重要的就是實時性和可靠性，一旦業(yè)務(wù)中斷不僅造成巨大的金錢損失，企業(yè)的形象也必將受損，還會影響成千上萬的客戶，可能造成客戶的流失等等嚴(yán)重后果。

如何應(yīng)對基礎(chǔ)架構(gòu)的DNS類DDOS攻擊

DNS是Internet的關(guān)鍵基礎(chǔ)設(shè)施,是整個互聯(lián)網(wǎng)能夠正常運轉(zhuǎn)的基礎(chǔ)。因此，研究DNS如何抵御DDoS攻擊具有十分重要的理論和現(xiàn)實意義。

那么面對基礎(chǔ)架構(gòu)的DNS類DDoS攻擊，我們該如何應(yīng)對呢？

根據(jù)DDoS攻擊現(xiàn)狀，華為專門開發(fā)了一整套防護系統(tǒng)，其功能涵蓋了檢測，清洗，管理，統(tǒng)計等多個方面。性能覆蓋 2G-200G各個區(qū)段。華為Anti-DDoS 系統(tǒng)由檢測設(shè)備，清洗設(shè)備，管理中心三部分組成。

華為智能防護引擎內(nèi)部集成了 DDoS防護必備的7 層防護算法，逐層對攻擊流量進行清洗過濾，實現(xiàn)對流量型攻擊和應(yīng)用層攻擊的全面防護。

7層防護由畸形包過濾，特征過濾，虛假源認(rèn)證，應(yīng)用層認(rèn)證，會話分析，行為分析，智能限速組成。

◆畸形報文過濾針對違反協(xié)議標(biāo)準(zhǔn)的報文進行檢查和丟棄。

◆特征過濾則使用了華為強大的指紋學(xué)習(xí)和匹配算法，可以識別帶有指紋的攻擊流量，同時可以針對自定義報文特征，如 IP，端口等信息對報文進行過濾。

◆虛假源認(rèn)證和應(yīng)用層源認(rèn)證則能夠驗證流量源 IP 的訪問意圖和真實性，能夠有效的防護虛假源DNS query flood攻擊。

◆會話分析和行為分析則能夠針對DDoS攻擊經(jīng)常性的 spoof行為特點和多變的攻擊規(guī)律進行統(tǒng)計分析，對隱藏較深的僵尸網(wǎng)絡(luò)攻擊擁有良好的防范效果，F(xiàn)ast flux僵尸網(wǎng)絡(luò)將難逃法眼。

◆最后的智能限速則可以針對大流量正常行為進行限制和控制保證服務(wù)器的可用性。

精確全面 七層防護

提供眾多防護算法的同時，華為清洗引擎可以有效降低對正常流量的誤判和錯判，避免了一些傳統(tǒng)防護設(shè)備存在的影響客戶業(yè)務(wù)，干擾正常訪問等問題。

華為的AntiDDoS系統(tǒng)配置有專業(yè)的管理中心，可實現(xiàn)用戶的業(yè)務(wù)流量自學(xué)習(xí)，根據(jù)學(xué)習(xí)結(jié)果提供防御策略，使得管理簡單，防御精確；管理中心提供豐富的報表功能：如，流量報表、攻擊報表，趨勢分析報表等，使得客戶對業(yè)務(wù)流量和安全事件一目了然。

據(jù)了解，華為Anti-DDoS8000系列產(chǎn)品能夠幫助客戶防御基于IPv4與IPv6協(xié)議上針對DNS服務(wù)器的攻擊，如：虛假源DNS query flood攻擊；真實源DNS query flood攻擊；DNS reply flood攻擊；DNS緩存投毒攻擊；DNS協(xié)議漏洞攻擊；DNS CacheMiss攻擊；Fast flux僵尸網(wǎng)絡(luò)等。同時，能夠提供DNS Cache功能，緩解大流量DNS服務(wù)器壓力。

除此以外，面對不斷變化的DDoS攻擊，華為Anti-DDoS系列產(chǎn)品能夠針對DDoS攻擊的各種手段，提出相應(yīng)的防范算法，在抵御傳輸層攻擊的同時，也能夠針對各種應(yīng)用層攻擊進行識別和防范。并能夠靈活的進行算法間的組合搭配，保證流量被準(zhǔn)確清洗。

隨著網(wǎng)絡(luò)的發(fā)展，面向基礎(chǔ)架構(gòu)的DNS類DDoS攻擊勢必也會演進，因為攻擊者總是在猜測著DDoS攻擊防護體系的防范規(guī)律，同時也在不斷的推出新的攻擊軟件和攻擊手段。放眼未來，DDoS攻擊防護任重而道遠(yuǎn)！