DNS放大攻击的工作原理，以及如何保护自己免受DNS放大攻击

2020 年 7 月， FBI 发表声明 警告美国的域名系统 (DNS) 放大攻击有所增加。具体而言，该报告指出，自 2020 年 2 月以来，FBI 发现这些威胁的部署明显增加。其中一次此类攻击（被记录为历史上最大的 DDoS 攻击）甚至影响了亚马逊的网络服务，峰值达到每秒 2.3 TB .

不幸的是，DNS 放大攻击似乎不会很快消失。因此，所有组织和企业主都应针对这种网络威胁采取额外的预防措施，以降低成为网络威胁受害者的风险。

DNS 放大攻击的工作原理

具体来说，DNS 放大攻击是一种 分布式拒绝服务 (DDoS) 攻击 ，它利用域名系统 (DNS) 服务器中的已知漏洞来放大其影响。通过操纵这些公共域名系统，攻击者有可能使用虚假 IP 地址向受害者发起大量请求。黑客利用僵尸网络最大限度地发挥对目标的影响并 使其更难识别攻击源的情况也并不少见 。

如何保护自己免受 DNS 放大攻击

不幸的是，没有万无一失的方法可以避免成为此类网络威胁的受害者。从针对亚马逊的成功 DNS 放大攻击中可以看出，如果攻击足够大，即使是网络上一些最大和最安全的服务也可以被删除。

尽管如此，您仍然可以采取一些措施来降低风险并使您的网站成为不太理想的目标。首先是最大限度地提高 DNS 服务器的安全性并阻止特定的 DNS 服务器以保护它们免受这些放大攻击。一些组织还成功地将其本地 DNS 服务器配置为 仅 处理来自组织内部的流量请求。

但是，在更改 DNS 设置时，重要的是要避免进行可能干扰合法流量的更改。这是网站所有者在试图保护自己免受 DNS 放大攻击时面临的最大挑战之一。