Akamai是一家大型互聯網CDN服務提供商，然而根據其最新的DDoS趨勢報告，發現利用DNSSEC協議的這類攻擊已經更加猖獗。DNSSEC是“域名系統安全擴展”的簡稱，作為DNS協議的擴展，其包括了諸多保護DNS認證和數據完整度的安全特性（因此叫它DNS+security也行），然而“反射DDoS”也在濫用DNSSEC協議。

業內也將反射DDoS稱作R-DDoS、DRDoS或“分布式反射拒絕服務攻擊”。去年8月份的時候，我們曾深入解析過諸多借助BitTorrent相關協議的“杠桿傳播”，但其背后的原理其實很簡單。

一名攻擊者將一個“損壞的網絡包”發送到服務器，然而之后它會被發送回另一個用戶（即攻擊的受害者）。該網絡包會濫用一個特定的協議，借助于各種缺陷，其可放大自身的數量，有時×2、有時×10（甚至還有將攻擊增強200倍的）。

根據Akamai的報告，自2015年11月起，該公司已經遭遇并緩解了超過400起DDoS反射攻擊。攻擊者主要使用了.gov的域名，這歸咎于美國法規必須支持DNSSEC。

盡管DNSSEC可以防止域名被劫持，但它卻無法阻擋反射DDoS攻擊，而攻擊者們顯然都看到了這個薄弱點，更別提它是標準DNSSEC響應的很大一塊了（除了域名和許多認證類相關數據之外）。

Akamai SIRT（安全情報響應小組）表示：攻擊者沒有做什么特殊的事情，他們用的還是同樣的DDoS工具包，因為DNS解析器仍然開放著。問題的關鍵是他們請求了DNSSEC的域名（通常為a.gov之類，修改為DNS請求的受害者IP，而不是他們自己的）。

開放的DNS解析器會將它翻譯成一個IP，通過額外的DNSSEC請求數據來阻塞響應，然后將它發送回受害者IP。

標準DNS響應大小為512字節（bytes），而附帶各種配置的DNSSEC甚至能夠達到4096字節。這意味著DNSSEC反射DDoS攻擊的放大系數，有時甚至能達到8×。

鑒于線上有3200萬開放DNS解析器（其中有2800萬被認為是受漏洞影響的），攻擊者很容易就找到利用它們的方法。

Akamai的報告稱，DNSSEC反射DDoS攻擊的有記錄峰值數據為123.5Gbps，其中超半數都是針對游戲行業的（其次是金融領域）。

好消息是，只需對ALCs進行一些優化，開放DNS解析器能夠防止服務被反射DDoS攻擊所濫用。