UDP DNS Query Flood***採用的方法是向被***的服務器發送大量的域名解析請求,通常請求解析的域名是隨機生成或者是網絡世界上根本不存在的域名,被***的DNS 服務器在接收到域名解析請求的時候首先會在服務器上查找是否有對應的緩存,如果查找不到並且該域名無法直接由服務器解析的時候,DNS 服務器會向其上層DNS服務器遞歸查詢域名信息。域名解析的過程給服務器帶來了很大的負載,每秒鐘域名解析請求超過一定的數量就會造成DNS服務器解析域名超時。
根據微軟的統計數據,一臺DNS服務器所能承受的動態域名查詢的上限是每秒鐘9000個請求。而我們知道,在一臺P3的PC機上可以輕易地構造出每秒鐘幾萬個域名解析請求,足以使一臺硬件配置極高的DNS服務器癱瘓,由此可見DNS 服務器的脆弱性。目前最常用的DNS服務器軟件是Bind。
通常***者採用的手段包括:
1) 利用發包程序向DNS服務器發送不帶任何負載的NULL數據包。由於數據包本身不符合協議規定,服務器在收到報文的時候將直接丟棄。因此這種***方式除非***流量比較大,否則不會有明顯的效果。
2) 利用程序構造DNS解析請求固定的域名,由於DNS服務器在解析請求的時候會在系統cache存放上一次解析的結果,這種***方式也需要較大的流量。
3) 向DNS服務器發起解析請求隨機的、不存在的域名;這樣DNS服務器就需要進行頻繁的字符串匹配,由於在本地無法查到對應的結果,服務器必須使用遞歸查詢向上層域名服務器提交解析請求,引起連鎖反應。
目前尚沒有防火牆能對DNS服務器的***進行防護,只有少數的專業防護設備可以做到。
防護仍然可以從統計學的角度出發。作爲安裝在DNS服務器前面的防護設備,在平時運行時可以統計哪些域名是經常被解析請求的,哪些域名是從來都沒有被解析請求過的,學習域名解析的結果,對那些經常無法解析的域名引入類似的信譽機制。在***發生的時候,防護設備利用內建的高速cache根據平時學習到的域名解析的結果主動響應解析請求,這樣減輕DNS服務器的負載。同時,根據統計的結果,過濾部分明顯非法的解析請求(例如某個從來未被解析過的域名),對突然發起大量頻度較低的域名解析請求的源IP地址進行帶寬限制。通過採取這些方法,可以將***帶來的影響降到最低點。
