在網(wǎng)絡(luò)的發(fā)展史里有個(gè)名詞相信大家都不陌生，那就是"分布式拒絕服務(wù)（DDoS--Distributed Denial of Service） 攻擊"。隨著IT及網(wǎng)絡(luò)的發(fā)展演進(jìn)至今，DDoS攻擊形勢(shì)愈加嚴(yán)峻，單次攻擊流量超過100G的案例已經(jīng)發(fā)生，全球僵尸主機(jī)規(guī)模已經(jīng)超過3000萬臺(tái)……隨處可以獲得的攻擊工具，龐大的僵尸網(wǎng)絡(luò)群體，發(fā)動(dòng)一次DDoS攻擊不再需要任何黑客技術(shù)門檻，只需要3步（下載攻擊工具、購買僵尸主機(jī)，發(fā)動(dòng)攻擊）即可完成一次攻擊。

DDoS攻擊主要目的是讓指定目標(biāo)無法提供正常服務(wù)，甚至從互聯(lián)網(wǎng)上消失，是目前最強(qiáng)大、最難防御的攻擊之一。實(shí)現(xiàn)DDoS 攻擊的方式有多種，DNS類DDoS攻擊即是其中較為常見的一種攻擊方式。

據(jù)華為安全能力中心統(tǒng)計(jì)，針對(duì)Web服務(wù)攻擊占攻擊總量的67.71%，攻擊方式主要集中在SYN Flood、HTTP Get Flood、CC 攻擊、重傳攻擊等方面，Web服務(wù)仍是DDOS主要攻擊目標(biāo)。

針對(duì)DNS的攻擊占攻擊總量的11.74%，主要以cache miss為目的的DNS query flood攻擊為主，互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)一般都采用大量服務(wù)器組成的集群，相比DNS系統(tǒng)更脆弱。城域網(wǎng)DNS緩存服務(wù)器和大客戶的DNS授權(quán)服務(wù)器都成為重點(diǎn)的攻擊目標(biāo)。針對(duì)Mail攻擊以SYN Flood為主，針對(duì)在線游戲攻擊則是針對(duì)業(yè)務(wù)端口的UDP Flood攻擊為主。

DDoS攻擊次數(shù)比例圖

DDoS攻擊流量比例圖

通過上面兩張比例圖，我們可以清楚的了解到防御DNS類DDoS攻擊是多么重要。下面，本文將針對(duì)如何應(yīng)對(duì)面向基礎(chǔ)架構(gòu)的DNS類DDoS 攻擊進(jìn)行深度剖析。

DNS類DDoS攻擊

首先，我們先了解一下DNS（Domain Name System），眾所周知它是域名系統(tǒng)的意思，其作用就是協(xié)調(diào)IP地址和主機(jī)名之間的雙向切換。DNS是Internet的基礎(chǔ)架構(gòu)，眾多的網(wǎng)絡(luò)服務(wù)（如：Http、Ftp、Email等等）都是建立在DNS體系基礎(chǔ)之上的。DNS系統(tǒng)中有授權(quán)服務(wù)器和緩存服務(wù)器兩種類型。DNS服務(wù)器的本職就是要向全世界廣播所有他們要解析的域名相關(guān)的記錄。因?yàn)橛脩舾矚g使用普通的名稱來訪問網(wǎng)絡(luò)，而不是一些數(shù)字，DNS服務(wù)器對(duì)用戶在瀏覽器中輸入的內(nèi)容進(jìn)行翻譯，例如當(dāng)用戶在Web瀏覽器中輸入www.scjtxx.cn后，它會(huì)翻譯成一個(gè)網(wǎng)絡(luò)可以理解的真實(shí)的IP地址。

作為互聯(lián)網(wǎng)最基礎(chǔ)、最核心的服務(wù)，DNS自然也是DDoS攻擊的重要目標(biāo)之一。打垮DNS服務(wù)能夠間接打垮一家公司的全部業(yè)務(wù)，或者打垮一個(gè)地區(qū)的網(wǎng)絡(luò)服務(wù)。相信大家都記得，在2012年2月，黑客組織Anonymous也曾經(jīng)宣布要對(duì)全球互聯(lián)網(wǎng)的13臺(tái)根DNS服務(wù)器發(fā)起大規(guī)模的DDoS攻擊，不過最終沒有得手。

針對(duì)DNS服務(wù)器的攻擊有多種，如：DNS查詢攻擊；DNS reply flood攻擊；DNS緩存投毒攻擊；DNS協(xié)議漏洞攻擊；Fast flux僵尸網(wǎng)絡(luò)等。

根據(jù)DDoS攻擊次數(shù)比例圖與DDoS攻擊流量比例圖顯示，我們可以看出DNS查詢攻擊占比很重，那么此處我們重點(diǎn)說一下虛假地址的DNS查詢DDoS攻擊。

偽造地址的DNS查詢DDoS攻擊

DNS服務(wù)器是一個(gè)保存域名和IP地址映射的數(shù)據(jù)庫，DNS服務(wù)器的解析過程就是DNS在其數(shù)據(jù)庫里進(jìn)行查找匹配記錄的過程。由于DNS在域名解析時(shí)，字符串匹配和數(shù)據(jù)庫查找時(shí)開銷較大，DNS查詢DDoS攻擊利用這一特點(diǎn)，通過偽造IP地址向目標(biāo)DNS發(fā)送海量的DNS查詢攻擊包，由于DNS服務(wù)器每秒查詢次數(shù)有限，使得它忙于處理海量的查詢請(qǐng)求數(shù)據(jù)包而形成拒絕服務(wù)攻擊。

我們可以試想一下，如果一個(gè)金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)遭遇了此類攻擊，將會(huì)如何？很肯定的說企業(yè)業(yè)務(wù)的正常運(yùn)營(yíng)會(huì)受到嚴(yán)重影響。金融在線業(yè)務(wù)系統(tǒng)最重要的就是實(shí)時(shí)性和可靠性，一旦業(yè)務(wù)中斷不僅造成巨大的金錢損失，企業(yè)的形象也必將受損，還會(huì)影響成千上萬的客戶，可能造成客戶的流失等等嚴(yán)重后果。

如何應(yīng)對(duì)基礎(chǔ)架構(gòu)的DNS類DDOS攻擊

DNS是Internet的關(guān)鍵基礎(chǔ)設(shè)施,是整個(gè)互聯(lián)網(wǎng)能夠正常運(yùn)轉(zhuǎn)的基礎(chǔ)。因此，研究DNS如何抵御DDoS攻擊具有十分重要的理論和現(xiàn)實(shí)意義。

那么面對(duì)基礎(chǔ)架構(gòu)的DNS類DDoS攻擊，我們?cè)撊绾螒?yīng)對(duì)呢？

根據(jù)DDoS攻擊現(xiàn)狀，華為專門開發(fā)了一整套防護(hù)系統(tǒng)，其功能涵蓋了檢測(cè)，清洗，管理，統(tǒng)計(jì)等多個(gè)方面。性能覆蓋 2G-200G各個(gè)區(qū)段。華為Anti-DDoS 系統(tǒng)由檢測(cè)設(shè)備，清洗設(shè)備，管理中心三部分組成。

華為智能防護(hù)引擎內(nèi)部集成了 DDoS防護(hù)必備的7 層防護(hù)算法，逐層對(duì)攻擊流量進(jìn)行清洗過濾，實(shí)現(xiàn)對(duì)流量型攻擊和應(yīng)用層攻擊的全面防護(hù)。

7層防護(hù)由畸形包過濾，特征過濾，虛假源認(rèn)證，應(yīng)用層認(rèn)證，會(huì)話分析，行為分析，智能限速組成。

◆畸形報(bào)文過濾針對(duì)違反協(xié)議標(biāo)準(zhǔn)的報(bào)文進(jìn)行檢查和丟棄。

◆特征過濾則使用了華為強(qiáng)大的指紋學(xué)習(xí)和匹配算法，可以識(shí)別帶有指紋的攻擊流量，同時(shí)可以針對(duì)自定義報(bào)文特征，如 IP，端口等信息對(duì)報(bào)文進(jìn)行過濾。

◆虛假源認(rèn)證和應(yīng)用層源認(rèn)證則能夠驗(yàn)證流量源 IP 的訪問意圖和真實(shí)性，能夠有效的防護(hù)虛假源DNS query flood攻擊。

◆會(huì)話分析和行為分析則能夠針對(duì)DDoS攻擊經(jīng)常性的 spoof行為特點(diǎn)和多變的攻擊規(guī)律進(jìn)行統(tǒng)計(jì)分析，對(duì)隱藏較深的僵尸網(wǎng)絡(luò)攻擊擁有良好的防范效果，F(xiàn)ast flux僵尸網(wǎng)絡(luò)將難逃法眼。

◆最后的智能限速則可以針對(duì)大流量正常行為進(jìn)行限制和控制保證服務(wù)器的可用性。

精確全面 七層防護(hù)

提供眾多防護(hù)算法的同時(shí)，華為清洗引擎可以有效降低對(duì)正常流量的誤判和錯(cuò)判，避免了一些傳統(tǒng)防護(hù)設(shè)備存在的影響客戶業(yè)務(wù)，干擾正常訪問等問題。

華為的AntiDDoS系統(tǒng)配置有專業(yè)的管理中心，可實(shí)現(xiàn)用戶的業(yè)務(wù)流量自學(xué)習(xí)，根據(jù)學(xué)習(xí)結(jié)果提供防御策略，使得管理簡(jiǎn)單，防御精確；管理中心提供豐富的報(bào)表功能：如，流量報(bào)表、攻擊報(bào)表，趨勢(shì)分析報(bào)表等，使得客戶對(duì)業(yè)務(wù)流量和安全事件一目了然。

據(jù)了解，華為Anti-DDoS8000系列產(chǎn)品能夠幫助客戶防御基于IPv4與IPv6協(xié)議上針對(duì)DNS服務(wù)器的攻擊，如：虛假源DNS query flood攻擊；真實(shí)源DNS query flood攻擊；DNS reply flood攻擊；DNS緩存投毒攻擊；DNS協(xié)議漏洞攻擊；DNS CacheMiss攻擊；Fast flux僵尸網(wǎng)絡(luò)等。同時(shí)，能夠提供DNS Cache功能，緩解大流量DNS服務(wù)器壓力。

除此以外，面對(duì)不斷變化的DDoS攻擊，華為Anti-DDoS系列產(chǎn)品能夠針對(duì)DDoS攻擊的各種手段，提出相應(yīng)的防范算法，在抵御傳輸層攻擊的同時(shí)，也能夠針對(duì)各種應(yīng)用層攻擊進(jìn)行識(shí)別和防范。并能夠靈活的進(jìn)行算法間的組合搭配，保證流量被準(zhǔn)確清洗。

隨著網(wǎng)絡(luò)的發(fā)展，面向基礎(chǔ)架構(gòu)的DNS類DDoS攻擊勢(shì)必也會(huì)演進(jìn)，因?yàn)楣粽呖偸窃诓聹y(cè)著DDoS攻擊防護(hù)體系的防范規(guī)律，同時(shí)也在不斷的推出新的攻擊軟件和攻擊手段。放眼未來，DDoS攻擊防護(hù)任重而道遠(yuǎn)！