咋回事？先搞懂DNS放大攻击是啥

切记... 说真的， 现在这网络攻击真是越来越多了花样百出，搞得人都头大。其中有个叫“DNS放大攻击”的东西，最近几年特别流行，坏人都爱用这招。简单说吧， DNS放大攻击就是坏人用假IP地址，去问那些公开的DNS服务器要数据，DNS服务器以为是真的有人要，就给那个假IP回好多好多的数据，一下子就把你的网络给搞瘫痪了就跟水管突然爆了一样，水全涌到你家来了你能不堵车吗？

我跟你讲， 这攻击其实也不复杂，就是利用了DNS服务器的一个特点：它回的数据比你要的数据大好多倍。比如你问它“www.baidu.com”的IP， 它可能就回你一个IP地址， 上手。 但要是坏人问它“这个域名的所有记录”，DNS服务器就会把所有能给你的信息都打包回过去，一下子就放大了好几倍流量。坏人就靠这个放大效应，用很小的流量，就能让你的网络彻底崩了。

而且啊， 这攻击最气人的地方是坏人自己不用露面他都是用那些公开的DNS服务器当“炮台”，这些服务器本来是为我们服务的， 扎心了... 后来啊被坏人利用了反过来攻击我们。你说气不气人？所以咱们得想办法防御，不然哪天突然网就断了工作都做不了那麻烦就大了。

咋判断自己是不是被DNS放大攻击了？

那怎么知道自己是不是被DNS放大攻击了呢？其实也不难，只要注意观察网络流量就行了。通常被攻击的时候，你的网络里会出现好多好多UDP端口53的流量，主要原因是DNS用的就是UDP协议。而且这些流量大部分都是“响应包”，就是DNS服务器回给你的数据，而不是你请求的数据。正常情况下请求和响应的比例应该差不多，要是一下子响应包占比特别高，那就要警惕了，太水了。。

还有啊， 你可以抓包看看，要是发现好多重复的DNS请求，比如全是“ANY类型”的请求，就是要域名的所有记录，而且请求的源IP都不是你公司或者你家里的正常IP， 我裂开了。 那基本就是被攻击了。坏人就喜欢用这种请求，主要原因是能放大最多的流量。我上次遇到一次抓包一看，全是“ANY”请求，源IP来自全国各地，一看就知道不对劲。

再说一个， 你的网络突然变得特别卡，网页打不开，游戏掉线，连微信都可能发不了消息，这时候也要想想是不是被攻击了。不过别慌，先别急着重启路由器，先看看流量情况，别是被人攻击了自己还不知道。

还有啥特征？再给你说说

除了流量大、 响应包多，DNS放大攻击还有个特征，就是这些流量都是从不同的DNS服务器来的，主要原因是坏人会找好多公开的DNS服务器一起攻击你。所以你看到的源IP会特别多，而且都是一些陌生的DNS服务器地址。正常情况下你公司的DNS请求应该都是固定的几个服务器，要是突然冒出好多陌生的，那就要小心了，不如...。

还有啊， 被攻击的时候，你的服务器可能会收到特别大的DNS响应包，比如每个包都有好几百字节甚至上千字节，而正常的DNS请求包一般才几十字节。要是发现响应包特别大，那肯定是坏人放大了流量。我朋友的公司以前遇到过一次每个响应包都有800多字节，把服务器带宽全占满了。

那咋防御DNS放大攻击呢？办法其实也不少

防御DNS放大攻击，其实就是要从源头和途径上都堵住坏人的路。先说说最直接的办法就是关掉DNS服务器的“递归功能”。啥叫递归功能呢？就是DNS服务器不仅帮你查自己的域名，还能帮你去查别的域名的IP。这种功能虽然方便，但也容易被坏人利用。所以如果你的DNS服务器不需要为外人服务， 就直接关掉递归功能，让它只查自己的域名，这样坏人就没办法用它当“炮台”了，也许吧...。

从头再来。 不过关递归功能的时候要小心， 别把正常的解析也关了不然公司内部的员工可能就上不了网了。最好是单独做一个DNS服务器， 专门给内部用，关掉递归功能，再做一个公开的DNS服务器，专门对外服务，但也要限制一下不让它随便放大流量。

行吧... 还有啊， 可以在DNS服务器上设置一些规则，比如限制“ANY类型”的请求，不让它回所有的记录，只回必要的记录，比如A记录和AAAA记录。这样就算坏人发了ANY请求，DNS服务器也不会回太多数据，放大效果就小了。再说一个， 还可以限制单个IP的请求频率，比如一个IP每秒只能问10次DNS，问多了就直接拒绝，这样坏人就没法高频请求来放大流量了。

流量清洗是个啥？有用不？

要是已经被攻击了那咋办？这时候就得用“流量清洗”了。流量清洗就是有个专门的设备， 把你的网络流量导过去，先过滤一下把那些恶意的DNS响应包都挡住只把正常的流量放进来。这样你的网络就不会被恶意流量占满了就能正常工作了。

不过流量清洗设备挺贵的，小公司可能买不起。而且就算有设备，也得提前配置好规则，不然攻击来了手忙脚乱的。我建议啊， 平时就做好准备，把流量清洗的规则都设好，一旦被攻击，就能马上启动，不然等攻击来了再临时配置，黄花菜都凉了。

还有啊， 要是用的云服务，可以找云服务商帮忙，他们一般都有流量清洗服务，比自己买设备划算。不过云服务商的响应速度可能不一样，得提前问问清楚，别真出事了他们不给你处理，本质上...。

还有没有别的招？联动服务商呗

你我共勉。 除了自己搞，还可以找上游的ISP服务商帮忙。ISP就是给你提供网络服务的公司，比如电信、联通这些。你可以跟他们说你的网络被DNS放大攻击了让他们帮忙拦截那些恶意流量。ISP一般都有手段，比如在骨干网上把那些恶意DNS服务器的流量给挡了这样你的网络就能轻松点了。

好家伙... 还有啊， 可以告诉那些被坏人利用的DNS服务器的运维人员，让他们关掉递归功能，或者限制一下请求。这样从源头上就减少了恶意流量，攻击效果就没那么强了。不过这些DNS服务器都是公开的，运维人员可能不搭理你，所以得找ISP帮忙一起处理。

我上次遇到一次攻击， 就是找ISP帮忙的，他们把那些恶意流量都拦截了大概半小时就恢复了。不过这期间公司网还是卡得要命，员工们都抱怨死了所以最好还是提前防范，别等攻击了再临时抱佛脚，共勉。。

用户教育也很重要， 别小看

其实啊，防御DNS放大攻击，不光是技术问题，还得靠人。比如公司的员工，得让他们知道别乱点链接，别用弱密码，不然坏人可能进到内网，配合DNS攻击。还有，别随便下载不明软件，别连不平安的WiFi，这些都能减少被攻击的风险，说到点子上了。。

我以前有个同事， 就主要原因是点了钓鱼链接，电脑中毒了坏人通过他的电脑进到了内网，然后发起DNS攻击，搞得公司网络瘫痪了一下午。后来老板发了火，把全员工都训了一顿，还搞了网络平安培训，从那以后大家都不敢乱点链接了。

就这？ 所以啊， 平时多给员工讲讲网络平安知识，让他们知道怎么识别钓鱼网站，怎么设置强密码，怎么保护自己的电脑。这样就算坏人想搞事情，也没那么容易得手。

一下 其实也不难

总的防御DNS放大攻击，就是要多方面搞，从DNS服务器配置到流量监控，再到联动服务商，再说说还得靠用户教育。其实也不难， 纯属忽悠。 就是麻烦点。比如关掉DNS服务器的递归功能，限制请求类型和大小，这些都得提前做好，不能等攻击了再临时抱佛脚。

公正地讲... 还有啊，平时多关注网络流量，发现有异常就赶紧处理，别拖。比如流量突然变大，或者出现好多陌生的DNS响应包，这时候就得赶紧启动流量清洗，或者找ISP帮忙。不然等网络彻底瘫了再想恢复就难了。

再说说啊，希望这些办法能帮到你。毕竟现网要是瘫了啥都干不了连游戏都玩不了那多难受啊。所以平时多注意点，别等出了问题才后悔。 总体来看... 对了我家猫昨天又抓沙发了搞得我心情不好，写这篇文章的时候老是走神，希望没写太烂。反正大概就是这么回事，你们自己看着办吧。