域名系統（DNS）服務器是互聯網的“電話簿“；互聯網設備通過這些服務器來查找特定 Web 服務器以便訪問互聯網內容。DNS 洪水攻擊是一種分布式拒絕服務（DDoS）攻擊，攻擊者用大量流量淹沒某個域的 DNS 服務器，以嘗試中斷該域的 DNS 解析。如果用戶無法找到電話簿，就無法查找到用于調用特定資源的地址。通過中斷 DNS 解析，DNS 洪水攻擊將破壞網站、API 或 Web 應用程序響應合法流量的能力。很難將 DNS 洪水攻擊與正常的大流量區分開來，因為這些大規模流量往往來自多個唯一地址，查詢該域的真實記錄，模仿合法流量。

DNS洪水攻擊的工作原理

域名系統的功能是將易于記憶的名稱轉換成難以記住的網站服務器地址，因此成功攻擊 DNS 基礎設施將導致大多數人無法使用互聯網。DNS 洪水攻擊是一種相對較新的基于 DNS 的攻擊，這種攻擊是在高帶寬物聯網（IoT）僵尸網絡（如 Mirai）興起后激增的。DNS 洪水攻擊使用 IP 攝像頭、DVR 盒和其他 IoT 設備的高帶寬連接直接淹沒主要提供商的 DNS 服務器。來自 IoT 設備的大量請求淹沒 DNS 提供商的服務，阻止合法用戶訪問提供商的 DNS 服務器。

DNS 洪水攻擊不同于 DNS 放大攻擊。與 DNS 洪水攻擊不同，DNS 放大攻擊反射并放大不安全 DNS 服務器的流量，以便隱藏攻擊的源頭并提高攻擊的有效性。DNS 放大攻擊使用連接帶寬較小的設備向不安全的 DNS 服務器發送無數請求。這些設備對非常大的 DNS 記錄發出小型請求，但在發出請求時，攻擊者偽造返回地址為目標受害者。這種放大效果讓攻擊者能借助有限的攻擊資源來破壞較大的目標。

如何防護 DNS 洪水攻擊？

DNS 洪水對傳統上基于放大的攻擊方法做出了改變。借助輕易獲得的高帶寬僵尸網絡，攻擊者現能針對大型組織發動攻擊。除非被破壞的 IoT 設備得以更新或替換，否則抵御這些攻擊的唯一方法是使用一個超大型、高度分布式的 DNS 系統，以便實時監測、吸收和阻止攻擊流量。