DNS洪水是一種分佈式拒絕服務攻擊,也叫ddos攻擊,攻擊者將屬於給定區域的一個或多個域名系統DNS作爲目標,試圖阻礙對該區域及其子區域資源記錄的解析。
DNS服務器是能夠幫助請求者找到他們所尋求的服務器的互聯網路線圖。DSN區域是在域名系統中域名空間的一部分。對於每個區域而言,會將管理責任委派給單個的服務器集羣。
在DNS洪水攻擊中,攻擊者通過明顯有效的流量對一個給定的DSN服務器進行飽和攻擊,耗盡服務器資源並阻礙服務器將合法請求引導到區域資源。
DNS洪水攻擊與DNS放大攻擊有明顯區別。DNS放大是一種非對稱的 DDoS攻擊,其中,攻擊者向外發出帶有虛假目標IP的較小的查詢請求,使得被欺騙目標成爲更大DNS響應的接收者。利用這些攻擊,攻擊者達到其目的:通過持續消耗帶寬容量而使網絡飽和。
DNS 洪水是一種對稱的DDoS攻擊。這些攻擊試圖通過大量的UDP請求耗盡服務器端資源(例如:內存或CPU),這種攻擊是由腳本運行若干受感染的僵屍網絡設備而發起的。
爲了利用DNS洪水攻擊DNS服務器,攻擊者通常從多個服務器上運行腳本。這些腳本從僞裝的IP地址發送格式錯誤的數據包。 像DNS洪水這樣的第7層攻擊並不要求有效的響應,攻擊者可以發送既不準確且格式也不正確的數據包。攻擊者可以僞造所有的數據包信息,包括源IP,造成攻擊是來自多重來源的假象。數據包資料的隨機化還有助於攻擊者規避常見的DDoS爲了利用DNS洪水攻擊DNS服務器,攻擊者通常從多個服務器上運行腳本。這些腳本從僞裝的IP地址發送格式錯誤的數據包。 像DNS洪水這樣的第7層攻擊並不要求有效的響應,攻擊者可以發送既不準確且格式也不正確的數據包。另一種常見的DNS洪水攻擊類型是DNS NXDOMAIN洪水攻擊,攻擊者通過一些不存在或無效的記錄請求淹沒DNS服務器。 DNS服務器消耗其所有的資源尋找這些記錄,其緩存充滿了此類惡意請求,最終耗盡其用於接收合法請求的資源。防禦機制,使IP過濾(例如:使用 Linux IPtables)完全失效。