那么,是否有办法走出这个DNS 与DDoS攻击的陷阱呢?
或许,一个智能DNS基础设施能够解决这个问题。要注意的是,智能基础设施不只具有的积极影响,同时也具有破坏能力。而企业、供应商和服务商可以共同为DNS基础设施带来更高层面的情报。
供应商需要做出更智能的DNS的产品。当前的防御技术,如忽略第一个查询请求的做法是非常原始的,其并不能解决问题。新型的DNS服务器必须在受感染状态下意识到攻击并做出限制其他们反应速率的措施。
通过检测攻击然后重定向输入使用TCP的持续攻击的查询条件,这一想法或许到了将要实现的时候。而这可能会导致更高的延迟,意味着一些服务器需要升级,因为在应对TCP的同时许多互联网DNS服务器将付出更大的性能代价,但这应该只是暂时的。
但面对这种形式的攻击,企业也应该通过缩减他们的配置来防止这种放大请求。具体来说, 服务器应该只对整个区域除中专门列入白名单地址转储进行响应。企业还可以阻止并不多见的没有任何记录类型的请求。
这样的好处之一,是帮助减轻垃圾邮件的攻击。作为情报服务,国际反垃圾邮件组织将监控互联网中的开放邮件中继器和广告——企业将根据国际反垃圾邮件组织提供的列表自动阻止垃圾邮件。对DNS来说,还有几项免费服务,以监控数百万在互联网上公开的DNS继电器。
到目前为止,试图关闭2500万开放的解析器的唯一方法是:公开这些列表。不过很显然,只公示这个列表是不够的,事实上,发布这个列表就像一个巨型僵尸网络为那些希望使用它的人而分发布的地址!也许采取更极端的措施的时候已经到来,。进一步说,如果一个“好的”DNS服务器能够阻止解析器的响应,这可能会迫使被列入黑名单的对象清除他们的攻击行为。
不过,如果不尽快构建起智能DNS基础设施的话,DDoS攻击与DNS反射攻击或许只是才刚刚开始而已。
温馨提示:答案为网友推荐,仅供参考