在網絡的發展史里有個名詞相信大家都不陌生，那就是"分布式拒絕服務（DDoS--Distributed Denial of Service） 攻擊"。隨著IT及網絡的發展演進至今，DDoS攻擊形勢愈加嚴峻，單次攻擊流量超過100G的案例已經發生，全球僵尸主機規模已經超過3000萬臺……隨處可以獲得的攻擊工具，龐大的僵尸網絡群體，發動一次DDoS攻擊不再需要任何黑客技術門檻，只需要3步（下載攻擊工具、購買僵尸主機，發動攻擊）即可完成一次攻擊。

DDoS攻擊主要目的是讓指定目標無法提供正常服務，甚至從互聯網上消失，是目前最強大、最難防御的攻擊之一。實現DDoS 攻擊的方式有多種，DNS類DDoS攻擊即是其中較為常見的一種攻擊方式。

據華為安全能力中心統計，針對Web服務攻擊占攻擊總量的67.71%，攻擊方式主要集中在SYN Flood、HTTP Get Flood、CC 攻擊、重傳攻擊等方面，Web服務仍是DDOS主要攻擊目標。

針對DNS的攻擊占攻擊總量的11.74%，主要以cache miss為目的的DNS query flood攻擊為主，互聯網業務系統一般都采用大量服務器組成的集群，相比DNS系統更脆弱。城域網DNS緩存服務器和大客戶的DNS授權服務器都成為重點的攻擊目標。針對Mail攻擊以SYN Flood為主，針對在線游戲攻擊則是針對業務端口的UDP Flood攻擊為主。

DDoS攻擊次數比例圖

DDoS攻擊流量比例圖

通過上面兩張比例圖，我們可以清楚的了解到防御DNS類DDoS攻擊是多么重要。下面，本文將針對如何應對面向基礎架構的DNS類DDoS 攻擊進行深度剖析。

DNS類DDoS攻擊

首先，我們先了解一下DNS（Domain Name System），眾所周知它是域名系統的意思，其作用就是協調IP地址和主機名之間的雙向切換。DNS是Internet的基礎架構，眾多的網絡服務（如：Http、Ftp、Email等等）都是建立在DNS體系基礎之上的。DNS系統中有授權服務器和緩存服務器兩種類型。DNS服務器的本職就是要向全世界廣播所有他們要解析的域名相關的記錄。因為用戶更喜歡使用普通的名稱來訪問網絡，而不是一些數字，DNS服務器對用戶在瀏覽器中輸入的內容進行翻譯，例如當用戶在Web瀏覽器中輸入www.51cto.com后，它會翻譯成一個網絡可以理解的真實的IP地址。

作為互聯網最基礎、最核心的服務，DNS自然也是DDoS攻擊的重要目標之一。打垮DNS服務能夠間接打垮一家公司的全部業務，或者打垮一個地區的網絡服務。相信大家都記得，在2012年2月，黑客組織Anonymous也曾經宣布要對全球互聯網的13臺根DNS服務器發起大規模的DDoS攻擊，不過最終沒有得手。

針對DNS服務器的攻擊有多種，如：DNS查詢攻擊；DNS reply flood攻擊；DNS緩存投毒攻擊；DNS協議漏洞攻擊；Fast flux僵尸網絡等。

根據DDoS攻擊次數比例圖與DDoS攻擊流量比例圖顯示，我們可以看出DNS查詢攻擊占比很重，那么此處我們重點說一下虛假地址的DNS查詢DDoS攻擊。

偽造地址的DNS查詢DDoS攻擊

DNS服務器是一個保存域名和IP地址映射的數據庫，DNS服務器的解析過程就是DNS在其數據庫里進行查找匹配記錄的過程。由于DNS在域名解析時，字符串匹配和數據庫查找時開銷較大，DNS查詢DDoS攻擊利用這一特點，通過偽造IP地址向目標DNS發送海量的DNS查詢攻擊包，由于DNS服務器每秒查詢次數有限，使得它忙于處理海量的查詢請求數據包而形成拒絕服務攻擊。

我們可以試想一下，如果一個金融機構的業務系統遭遇了此類攻擊，將會如何？很肯定的說企業業務的正常運營會受到嚴重影響。金融在線業務系統最重要的就是實時性和可靠性，一旦業務中斷不僅造成巨大的金錢損失，企業的形象也必將受損，還會影響成千上萬的客戶，可能造成客戶的流失等等嚴重后果。

如何應對基礎架構的DNS類DDOS攻擊

DNS是Internet的關鍵基礎設施,是整個互聯網能夠正常運轉的基礎。因此，研究DNS如何抵御DDoS攻擊具有十分重要的理論和現實意義。

那么面對基礎架構的DNS類DDoS攻擊，我們該如何應對呢？

根據DDoS攻擊現狀，華為專門開發了一整套防護系統，其功能涵蓋了檢測，清洗，管理，統計等多個方面。性能覆蓋 2G-200G各個區段。華為Anti-DDoS 系統由檢測設備，清洗設備，管理中心三部分組成。

華為智能防護引擎內部集成了 DDoS防護必備的7 層防護算法，逐層對攻擊流量進行清洗過濾，實現對流量型攻擊和應用層攻擊的全面防護。

7層防護由畸形包過濾，特征過濾，虛假源認證，應用層認證，會話分析，行為分析，智能限速組成。

◆畸形報文過濾針對違反協議標準的報文進行檢查和丟棄。

◆特征過濾則使用了華為強大的指紋學習和匹配算法，可以識別帶有指紋的攻擊流量，同時可以針對自定義報文特征，如 IP，端口等信息對報文進行過濾。

◆虛假源認證和應用層源認證則能夠驗證流量源 IP 的訪問意圖和真實性，能夠有效的防護虛假源DNS query flood攻擊。

◆會話分析和行為分析則能夠針對DDoS攻擊經常性的 spoof行為特點和多變的攻擊規律進行統計分析，對隱藏較深的僵尸網絡攻擊擁有良好的防范效果，Fast flux僵尸網絡將難逃法眼。

◆最后的智能限速則可以針對大流量正常行為進行限制和控制保證服務器的可用性。

精確全面 七層防護

提供眾多防護算法的同時，華為清洗引擎可以有效降低對正常流量的誤判和錯判，避免了一些傳統防護設備存在的影響客戶業務，干擾正常訪問等問題。

華為的AntiDDoS系統配置有專業的管理中心，可實現用戶的業務流量自學習，根據學習結果提供防御策略，使得管理簡單，防御精確；管理中心提供豐富的報表功能：如，流量報表、攻擊報表，趨勢分析報表等，使得客戶對業務流量和安全事件一目了然。

據了解，華為Anti-DDoS8000系列產品能夠幫助客戶防御基于IPv4與IPv6協議上針對DNS服務器的攻擊，如：虛假源DNS query flood攻擊；真實源DNS query flood攻擊；DNS reply flood攻擊；DNS緩存投毒攻擊；DNS協議漏洞攻擊；DNS CacheMiss攻擊；Fast flux僵尸網絡等。同時，能夠提供DNS Cache功能，緩解大流量DNS服務器壓力。

除此以外，面對不斷變化的DDoS攻擊，華為Anti-DDoS系列產品能夠針對DDoS攻擊的各種手段，提出相應的防范算法，在抵御傳輸層攻擊的同時，也能夠針對各種應用層攻擊進行識別和防范。并能夠靈活的進行算法間的組合搭配，保證流量被準確清洗。

隨著網絡的發展，面向基礎架構的DNS類DDoS攻擊勢必也會演進，因為攻擊者總是在猜測著DDoS攻擊防護體系的防范規律，同時也在不斷的推出新的攻擊軟件和攻擊手段。放眼未來，DDoS攻擊防護任重而道遠！