揭秘DNS服务器伪造请求放大DDoS漏洞：从原理到复现(图文)

一、引言

在数字化浪潮席卷全球的当下，网络安全已然成为我们生活、工作和社会运转中不可或缺的关键要素。从个人隐私的保护，到企业核心数据的安全存储，再到国家关键信息基础设施的稳定运行，网络安全的重要性怎么强调都不为过。无论是日常使用的社交媒体、在线支付，还是企业的业务运营系统、政府的政务服务平台，一旦遭受网络攻击，都可能引发严重的后果，如数据泄露、服务中断、经济损失以及社会秩序的混乱。
而在众多网络安全威胁中，DNS 服务器伪造请求放大 DDoS 漏洞尤为突出，它就像隐藏在网络深处的一颗定时炸弹，随时可能被触发，给网络世界带来巨大的冲击。DNS（Domain Name System），作为互联网的核心基础设施之一，承担着将人类易于记忆的域名转换为计算机能够识别的 IP 地址的重任。简单来说，它就像是互联网的 “电话簿”，帮助我们快速找到想要访问的网站和服务。然而，当 DNS 服务器存在伪造请求放大 DDoS 漏洞时，这个 “电话簿” 就可能被恶意利用，成为攻击的帮凶。
攻击者利用这个漏洞，通过伪造请求，巧妙地借助 DNS 服务器的特性，将原本规模较小的攻击流量进行放大，进而对目标服务器发动大规模的分布式拒绝服务（DDoS）攻击。这种攻击会导致目标服务器被大量的恶意流量淹没，无法正常处理合法用户的请求，最终造成服务中断、网站瘫痪，给企业和用户带来极大的困扰和损失。无论是电商平台在促销活动期间因遭受攻击而无法提供服务，导致巨额经济损失，还是金融机构的在线交易系统瘫痪，引发客户信任危机，都凸显了 DNS 服务器伪造请求放大 DDoS 漏洞的巨大破坏力。因此，深入了解这个漏洞，掌握其复现方法和防范措施，对于维护网络安全至关重要。

二、DNS 服务器基础概念

（一）DNS 服务器的作用

DNS 服务器，即域名系统（Domain Name System）服务器，在互联网中扮演着至关重要的角色，承担着将域名转换为 IP 地址的关键任务。在互联网的世界里，每台设备都有一个唯一的 IP 地址，就如同现实生活中每部电话都有一个专属的电话号码一样。然而，IP 地址是由一串数字组成的，例如 “192.168.1.1”，这样的数字组合对于人类来说，记忆起来难度较大。而域名则以一种更方便人们记忆的网址形式呈现，比如 “www.example.com”。DNS 服务器的主要职责就是在域名和 IP 地址之间建立起对应关系，实现两者之间的转换。
当用户在浏览器中输入一个域名，比如 “www.baidu.com” 时，计算机首先会向 DNS 服务器发送一个请求。DNS 服务器会在自己的数据库中，或者通过查询其他服务器，查找这个域名对应的 IP 地址。若找到匹配的 IP 地址，就会将其返回给用户的计算机。计算机随后使用这个 IP 地址与对应的服务器建立连接，进而获取网页内容等信息。假设百度的服务器 IP 地址是 “220.181.38.148”（实际情况中可能会有多个 IP 地址），当用户输入 “www.baidu.com” 时，DNS 服务器就会将 “220.181.38.148” 这个 IP 地址提供给用户计算机，这样用户就能顺利访问百度网站了。
此外，DNS 服务器还具备缓存功能，能够提高访问效率。它会缓存已经查询过的域名 - IP 地址记录。当同一个网络环境中的其他用户，或者同一用户再次请求相同的域名时，DNS 服务器可以直接从缓存中提取 IP 地址信息并返回，而无需再次进行复杂的查询过程。例如，在一个办公室的局域网内，第一个用户查询了 “www.sina.com.cn” 的 IP 地址后，DNS 服务器会将这个信息缓存起来。当其他用户在这个局域网内再次访问 “www.sina.com.cn” 时，DNS 服务器直接使用缓存中的 IP 地址进行响应，大大加快了访问速度，减少了用户等待的时间，提升了网络访问的流畅性。

（二）工作原理

DNS 查询主要有递归和迭代两种过程，它们共同协作，确保用户能够准确、高效地获取所需网站的 IP 地址。
递归查询就像是你委托一位非常靠谱的中介帮你找房子。当你想访问一个网站，比如 “www.example.com”，你的计算机（客户端）就像你本人，会向本地 DNS 服务器（就好比你委托的中介）发送查询请求。本地 DNS 服务器收到请求后，如果它自己就能解析这个域名（就好像中介自己手里就有合适的房源信息），知道对应的 IP 地址，就会直接把结果返回给你的计算机。但如果本地 DNS 服务器不知道这个域名的 IP 地址（中介没有现成的房源），它就会代替你的计算机，像一个执着的找房者一样，去问其他 DNS 服务器（比如其他房产中介、房产信息中心等），直到找到对应的 IP 地址。在这个过程中，你的计算机只需要等待本地 DNS 服务器最终给你回复结果，不需要自己再去做其他查询，就像你只需要等中介给你找到合适的房子，不用自己一家家跑着找房一样。
而迭代查询更像是你自己亲自去找房子。客户端（你本人）向本地 DNS 服务器（可以理解为一个房产信息咨询点）发出查询请求。如果本地 DNS 服务器知道答案（有你要的房源信息），就会直接返回结果。但如果它不知道（没有合适房源），就会给你一些线索，比如告诉你去问根 DNS 服务器（类似一个大型房产管理总部）。你按照它给的线索，去问根 DNS 服务器。根 DNS 服务器也不会直接帮你找答案，而是告诉你应该去问顶级域名服务器（比如某个区域的房产管理中心）。你就又跑到顶级域名服务器那里询问，它可能又会给你新的线索，让你去问权威域名服务器（比如具体负责某个小区房源的管理处）。就这样，你自己一步步地根据每一步得到的线索，不断地向不同的服务器询问，直到最终找到负责这个域名的权威域名服务器，从它那里得到最终的 IP 地址（找到合适的房子） 。
通常情况下，主机向本地名称服务器的查询一般采用递归查询，因为这种方式对于用户来说更简单，不需要自己操心复杂的查询过程，只需要等待结果即可；而本地名称服务器向其他 DNS 服务器（如根 DNS 服务器、顶级域名服务器等）的查询则采用迭代查询，这样可以充分利用不同层级 DNS 服务器的资源和信息，提高查询的效率和准确性 。在实际的网络访问中，这两种查询方式相互配合，共同完成域名到 IP 地址的解析工作，让我们能够轻松地在互联网的世界里畅游，快速访问到各种网站和网络资源。

三、DDoS 攻击概述

（一）什么是 DDoS 攻击

DDoS，即分布式拒绝服务攻击（Distributed Denial of Service），是一种极具破坏力的网络攻击手段。它的核心原理是通过控制大量分布在不同地理位置的计算机或设备，组成一个庞大的 “僵尸网络”，然后协同这些设备向目标服务器或网络资源发送海量的请求，使得目标服务器或网络因不堪重负而无法正常处理合法用户的请求，最终导致服务中断 。简单来说，就好比一个热门的餐厅，正常情况下，它能够轻松接待每一位前来用餐的顾客。但突然有一天，大量的人涌入餐厅，这些人并非真正来用餐，只是占据着座位和空间，使得真正有需求的顾客无法进入餐厅享受服务。在网络世界里，DDoS 攻击就是这样，攻击者通过控制大量的 “僵尸” 设备，发送大量虚假请求，占据服务器的资源，导致正常用户无法访问服务器提供的服务。

（二）常见 DDoS 攻击类型

1. SYN Flood 攻击：这是一种利用 TCP 协议缺陷的攻击方式。在正常的 TCP 连接建立过程中，客户端会向服务器发送一个 SYN 请求包，服务器收到后会返回一个 SYN + ACK 包，客户端再回一个 ACK 包，这样三次握手后连接建立成功。而 SYN Flood 攻击中，攻击者会伪造大量的源 IP 地址，向服务器发送海量的 SYN 请求包，但却不完成后续的握手步骤。服务器为了响应这些请求，会分配大量的资源来维护这些半连接状态，导致连接队列被占满，无法再处理正常的连接请求，最终使服务器瘫痪 。例如，在一些电商大促活动期间，攻击者可能会利用 SYN Flood 攻击，使电商平台的服务器无法正常处理用户的下单请求，造成巨大的经济损失。

2. UDP Flood 攻击：UDP 协议是一种无连接的传输协议，这使得它成为攻击者利用的目标。攻击者通过向目标主机的随机端口发送大量的 UDP 数据包，由于 UDP 协议不需要建立连接，目标主机在接收到这些数据包后，会尝试查找对应的应用程序来处理。但由于这些数据包是随机发送的，目标主机往往找不到对应的应用，只能不断地返回错误信息，最终导致系统资源耗尽，无法正常提供服务。像一些小型的游戏服务器，经常会因为 UDP Flood 攻击而出现掉线或无法登录的情况 。

3. ICMP Flood 攻击：ICMP 协议主要用于网络设备之间的通信和错误报告。攻击者利用这一特性，向目标主机发送大量的 ICMP Echo Request（ping）数据包，使得目标主机疲于回应这些恶意请求，从而无法响应正常的业务请求。在早期的网络攻击中，ICMP Flood 攻击较为常见，曾导致许多网络瘫痪。不过，随着网络防护技术的不断发展，这种攻击方式的威胁性在逐渐降低，但在一些防护薄弱的网络环境中，仍然存在一定的风险 。

4. HTTP Flood 攻击：主要针对 Web 应用发起攻击。攻击者通过大量的 HTTP 请求来消耗 Web 服务器的资源。常见的方式有两种，一种是发送海量的 GET 或 POST 请求，使服务器忙于处理这些请求而无法响应正常用户的访问；另一种是 HTTP 慢速攻击，攻击者以较低的频率发送请求，保持连接但不完成请求，长时间地占用服务器资源，导致服务器并发连接数被耗尽。对于那些流量较大的电商平台、购票系统、视频网站等，HTTP Flood 攻击的危害尤为明显，可能会导致用户无法正常浏览商品、购票或观看视频等 。

（三）DNS 服务器伪造请求放大 DDoS 漏洞在 DDoS 攻击中的地位

DNS 服务器伪造请求放大 DDoS 漏洞在 DDoS 攻击中占据着极为特殊且危险的地位。它巧妙地利用了 DNS 服务器的工作特性，将原本规模较小的攻击流量进行放大，从而对目标服务器发动大规模的 DDoS 攻击。这种攻击方式具有很强的隐蔽性，攻击者通过伪造源 IP 地址为目标主机的查询请求，向 DNS 服务器发送大量的查询请求。DNS 服务器在接收到请求后，会向被伪造的目标 IP 地址发送大量的响应数据包。由于 DNS 响应数据包的流量远远大于请求数据包，攻击者就实现了对目标主机的流量放大攻击。而且，由于攻击流量来源于 DNS 服务器，使得追踪攻击源变得更加困难。许多大型企业的网络基础设施都曾因 DNS 放大攻击而遭受重创，其破坏力不容小觑。它不仅能够导致目标服务器的服务中断，还可能引发连锁反应，影响整个网络的正常运行，给企业和用户带来巨大的经济损失和不便 。

四、DNS 服务器伪造请求放大 DDoS 漏洞原理

（一）漏洞产生的原因

DNS 服务器伪造请求放大 DDoS 漏洞的产生，归根结底源于 DNS 服务器设计中存在的一些缺陷，以及网络环境中的一些不安全因素。在 DNS 服务器的设计中，对请求来源验证不足是一个关键问题。当 DNS 服务器接收到查询请求时，它通常不会对请求的源 IP 地址进行严格的真实性验证。这就给攻击者留下了可乘之机，他们可以轻松地伪造源 IP 地址，将其设置为目标服务器的 IP 地址，从而欺骗 DNS 服务器，使其将响应发送到目标服务器 。
另外，DNS 协议本身在设计之初，更多地考虑了功能的实现和效率，而对安全性的考量相对不足。例如，DNS 协议大多采用 UDP 协议进行数据传输，UDP 是一种无连接的协议，它不进行复杂的连接建立和确认过程，这使得攻击者能够更方便地伪造请求。而且，UDP 协议缺乏对数据完整性和源 IP 真实性的有效验证机制，这进一步加剧了 DNS 服务器面临的安全风险 。
此外，互联网中存在大量开放的 DNS 解析器，这些解析器配置不当，允许来自任意 IP 地址的查询请求。它们成为了攻击者利用的工具，攻击者可以向这些开放解析器发送伪造的 DNS 查询请求，借助它们的响应来实现对目标服务器的攻击。这些开放解析器就像是网络中的 “不稳定因素”，一旦被攻击者利用，就会引发严重的安全问题 。

（二）攻击过程详细解析

1. 伪造请求：攻击者在发动攻击时，首先会精心构造带有伪造源 IP 地址的 DNS 查询请求。这个伪造的源 IP 地址，正是他们想要攻击的目标服务器的 IP 地址。例如，攻击者想要攻击某电商平台的服务器，其 IP 地址为 “192.168.1.100”，攻击者就会在 DNS 查询请求中，将源 IP 地址设置为 “192.168.1.100”。同时，攻击者还会选择一些特殊的查询类型，如 ANY 查询，这种查询会要求 DNS 服务器返回关于目标域名的所有记录，包括 A 记录（域名对应的 IP 地址）、AAAA 记录（IPv6 地址记录）、MX 记录（邮件交换记录）等，目的是获取尽可能多的响应数据，为后续的放大攻击做准备 。

2. 发送到开放解析器：攻击者构造好伪造的 DNS 查询请求后，会将其发送到开放的 DNS 解析器。这些开放解析器通常是递归 DNS 服务器，它们的配置存在问题，允许接收来自任意 IP 地址的查询请求，并且会对这些请求进行响应。攻击者之所以选择开放解析器，是因为它们就像是网络中的 “放大器”，可以帮助攻击者将少量的攻击请求放大为大量的攻击流量。当开放解析器接收到伪造的 DNS 查询请求时，由于其不验证请求源 IP 地址的真实性，会按照正常的流程进行处理。它会根据请求中的域名，在自己的缓存中查找相关记录，如果没有找到，就会向其他 DNS 服务器进行查询，最终获取到相应的 DNS 记录，并将这些记录作为响应发送出去 。

3. 放大效应：DNS 响应数据量大于查询请求数据量，这是形成放大效应的关键。一般来说，一个简单的 DNS 查询请求数据包可能只有几十字节，而 DNS 服务器返回的响应数据包，由于包含了各种 DNS 记录，如 A 记录、MX 记录、CNAME 记录（别名记录）等，其大小可能达到几百字节甚至更多。例如，一个针对 “example.com” 的 ANY 类型 DNS 查询请求可能只有 60 字节左右，但 DNS 服务器返回的响应数据包可能包含了该域名的多个 IP 地址、邮件服务器信息、别名等记录，大小可能超过 400 字节。攻击者通过巧妙地利用这种数据量的差异，向多个开放解析器发送伪造的查询请求，就可以实现攻击流量的大幅放大。假设攻击者向 100 个开放解析器发送伪造请求，每个解析器返回的响应数据包比请求数据包大 300 字节，那么攻击者就可以通过这 100 个请求，产生 30000 字节（30KB）的额外攻击流量，从而对目标服务器造成更大的压力 。

4. 目标服务器过载：随着大量放大后的 DNS 响应流量被发送到伪造的源 IP 地址，即目标服务器，目标服务器会面临巨大的压力。目标服务器在接收到这些大量无效的 DNS 响应数据包时，需要消耗大量的系统资源来处理它们，如 CPU 资源用于解析和处理数据包，内存资源用于存储和管理这些数据包。当攻击流量持续增加，超过目标服务器的处理能力时，服务器的资源会被迅速耗尽。例如，服务器的带宽被大量占用，导致正常用户的请求无法传输；CPU 使用率飙升，使得服务器无法及时处理合法用户的业务请求；内存被占满，可能导致系统崩溃或服务异常。最终，目标服务器无法正常提供服务，出现服务中断、网站无法访问等情况，从而达到攻击者的目的 。

五、漏洞复现准备

（一）所需工具和环境

1. 工具：

• • Scapy：这是一款基于 Python 编写的强大的交互式数据包处理程序，它能够方便地发送、嗅探、解析和伪造网络数据包。在本次 DNS 服务器伪造请求放大 DDoS 漏洞复现中，我们将利用 Scapy 来构造和发送伪造的 DNS 查询请求数据包，通过编写 Python 脚本，使用 Scapy 库中的函数和类，实现对请求数据包的各种参数设置，如源 IP 地址、目的 IP 地址、UDP 端口、DNS 查询类型等 。

• • Wireshark：作为一款广泛使用的网络协议分析工具，Wireshark 可以实时捕获网络数据包，并对其进行详细的分析和解读。在复现过程中，我们使用 Wireshark 来捕获网络中的 DNS 通信数据包，观察正常和异常情况下的数据包结构、内容以及交互过程，通过分析捕获到的数据包，我们能够验证攻击是否成功，查看 DNS 服务器的响应情况，以及分析目标服务器接收到的攻击流量等 。

2. 环境：

• • 虚拟机：我们使用 VMware Workstation 虚拟机软件，创建多个虚拟机来模拟不同的网络角色。其中，一台虚拟机作为攻击者的主机，安装有 Scapy 工具，用于发起伪造的 DNS 查询请求；一台虚拟机配置为开放的 DNS 服务器，模拟存在漏洞的 DNS 服务器，它允许来自任意 IP 地址的查询请求，并且会对请求进行响应；另一台虚拟机作为目标服务器，模拟遭受攻击的对象，用于接收放大后的 DNS 响应流量 。

• • 网络配置：这些虚拟机通过虚拟网络连接，形成一个模拟的网络环境。为了确保实验的准确性和安全性，我们在虚拟机内部进行网络配置，设置不同的 IP 地址，并配置相关的网络参数，如子网掩码、网关等。同时，为了避免对真实网络造成影响，我们将虚拟机的网络模式设置为仅主机模式（Host - Only），使得虚拟机之间可以相互通信，但与外部网络隔离 。

（二）工具的安装与配置

1. Scapy 的安装与配置：

• • 安装：如果你的系统是基于 Debian 或 Ubuntu 的 Linux 系统，可以通过包管理器直接安装 Scapy。在终端中输入以下命令：

sudo apt - get update
sudo apt - get install python3 - scapy
如果是基于 Red Hat 或 CentOS 的系统，需要先安装依赖包，然后从源代码安装。首先安装依赖包：

sudo yum install python3 - devel libpcap - devel tcpdump
接着下载 Scapy 的源代码，解压后进入目录，执行以下命令进行安装：

python3 setup.py install
对于 Windows 系统，你可以使用 pip 安装 Scapy。首先确保你已经安装了 Python 和 pip，然后在命令提示符中输入：

pip install scapy

• 配置：安装完成后，Scapy 通常不需要额外的复杂配置即可使用。但在使用时，需要注意 Scapy 的一些默认设置。例如，Scapy 在发送数据包时，默认会使用系统的网络接口。如果需要指定特定的网络接口，可以在发送数据包时通过参数进行设置。例如，使用以下代码发送数据包，并指定网络接口为 “eth0”：

from scapy.all import *
p = IP(dst='192.168.1.100')/UDP()/DNS()
send(p, iface='eth0')

2. Wireshark 的安装与配置：

• • 安装：在 Linux 系统上，以 Debian 或 Ubuntu 为例，使用以下命令进行安装：

sudo apt - get update
sudo apt - get install wireshark
在安装过程中，系统可能会提示需要安装一些依赖包，按照提示进行操作即可。安装完成后，可能需要将当前用户添加到 “wireshark” 组，以便能够在不使用 sudo 的情况下运行 Wireshark。使用以下命令将用户添加到 “wireshark” 组：

sudo usermod - a - G wireshark $USER
然后重新登录，使设置生效。
在 Windows 系统上，从 Wireshark 官方网站（https://www.wireshark.org/download.html）下载安装程序，下载完成后，双击安装程序，按照安装向导的提示进行安装，安装过程中可以选择安装路径、组件等选项 。

• 配置：安装完成后，打开 Wireshark。首次运行时，Wireshark 会自动检测系统中的网络接口。如果需要捕获特定网络接口的数据包，可以在 Wireshark 的主界面中，选择对应的网络接口，然后点击 “开始捕获” 按钮。为了更方便地分析 DNS 相关的数据包，可以在捕获过滤器中设置过滤条件，只捕获 DNS 相关的数据包。在捕获过滤器输入框中输入 “udp port 53”，这样 Wireshark 就只会捕获 UDP 协议且端口为 53（DNS 服务默认端口）的数据包 。在分析数据包时，还可以使用显示过滤器进一步筛选和分析感兴趣的数据包，例如，使用 “dns.qry.name == "example.com"” 来筛选出查询 “example.com” 域名的 DNS 数据包 。

六、漏洞复现步骤

（一）构造伪造请求

在安装并配置好 Scapy 工具后，我们就可以利用它来构造带有伪造源 IP 地址的 DNS 查询请求。打开文本编辑器，创建一个新的 Python 脚本文件，例如 “dns_attack.py”。在脚本中，首先导入 Scapy 库：

from scapy.all import *
接下来，定义伪造的源 IP 地址和目标 DNS 服务器的 IP 地址。假设我们要攻击的目标服务器 IP 地址为 “192.168.1.100”，选择的开放 DNS 服务器 IP 地址为 “8.8.8.8”（这里以 Google 的公共 DNS 服务器为例，实际复现中可根据情况选择其他开放 DNS 服务器）：

src_ip = "192.168.1.100" # 伪造的源IP地址，即目标服务器IP
dst_ip = "8.8.8.8" # 目标DNS服务器IP地址
然后，构造 IP 数据包、UDP 数据包和 DNS 查询数据包。在 DNS 查询数据包中，设置查询类型为 ANY，以获取尽可能多的响应数据：

ip = IP(src=src_ip, dst=dst_ip)
udp = UDP(dport=53) # DNS服务默认端口为53
dns = DNS(rd=1, qd=DNSQR(qname="example.com", qtype="ANY")) # 查询example.com的所有记录
这里，rd=1表示期望递归查询，qname="example.com"表示查询的域名为 “example.com”，qtype="ANY"表示查询类型为 ANY。将这些数据包组合起来，形成完整的伪造 DNS 查询请求：

packet = ip/udp/dns
最后，我们可以使用send函数发送这个伪造的请求。为了观察发送的数据包，还可以使用ls函数查看数据包的详细信息：

ls(packet) # 查看数据包详细信息
send(packet, loop=1, inter=1) # 循环发送，每秒发送一次
完整的 Python 脚本如下：

from scapy.all import *
src_ip = "192.168.1.100" # 伪造的源IP地址，即目标服务器IP
dst_ip = "8.8.8.8" # 目标DNS服务器IP地址
ip = IP(src=src_ip, dst=dst_ip)
udp = UDP(dport=53) # DNS服务默认端口为53
dns = DNS(rd=1, qd=DNSQR(qname="example.com", qtype="ANY")) # 查询example.com的所有记录
packet = ip/udp/dns
ls(packet) # 查看数据包详细信息
send(packet, loop=1, inter=1) # 循环发送，每秒发送一次
运行这个脚本后，Scapy 会按照设定的参数，不断构造并发送带有伪造源 IP 地址的 DNS 查询请求到指定的 DNS 服务器 。

（二）发送请求到开放 DNS 服务器

在构造好伪造的 DNS 查询请求后，我们需要将其发送到选定的开放 DNS 服务器。在前面的脚本中，我们已经将目标 DNS 服务器的 IP 地址设置为 “8.8.8.8”，并使用 Scapy 的send函数发送请求。
为了确保请求能够成功发送，并且便于观察服务器的响应，我们可以在发送请求的同时，使用 Wireshark 进行抓包分析。打开 Wireshark，选择对应的网络接口（确保是虚拟机所在的网络接口），然后在捕获过滤器中输入 “udp port 53”，这样 Wireshark 就只会捕获 UDP 协议且端口为 53（DNS 服务默认端口）的数据包。
接着，运行前面编写的 “dns_attack.py” 脚本，开始向开放 DNS 服务器发送伪造的 DNS 查询请求。在 Wireshark 的抓包界面中，我们可以看到不断有 DNS 查询请求数据包被发送出去，并且源 IP 地址为我们伪造的目标服务器 IP 地址 “192.168.1.100”。
当开放 DNS 服务器接收到这些伪造的查询请求后，会根据请求的内容进行处理，并返回相应的 DNS 响应数据包。在 Wireshark 中，我们可以观察到这些响应数据包的返回情况，包括响应的内容、大小、时间等信息。通过分析这些响应数据包，我们可以了解开放 DNS 服务器对伪造请求的处理方式，以及响应数据的特征，为后续观察目标服务器的变化提供依据 。

（三）观察目标服务器的变化

随着伪造的 DNS 查询请求不断发送到开放 DNS 服务器，大量放大后的 DNS 响应流量会被发送到伪造的源 IP 地址，即目标服务器。我们可以通过多种方式观察目标服务器在遭受攻击时的表现。
首先，在目标服务器上，可以使用一些网络监控工具，如iftop、nethogs等，来实时查看网络带宽的使用情况。iftop可以直观地显示网络接口的实时带宽使用情况，包括发送和接收的流量。在目标服务器的终端中运行iftop命令，当攻击开始后，可以看到网络接口的接收流量迅速增加，大量的 DNS 响应数据包占用了目标服务器的网络带宽。例如，原本网络接口的接收流量可能只有几 KB/s，但在攻击过程中，接收流量可能会飙升到几 MB/s 甚至更高，导致网络带宽被占满。
其次，通过 ping 命令来测试目标服务器的响应速度。在另一台与目标服务器处于同一网络的主机上，持续执行ping 192.168.1.100命令（假设目标服务器 IP 为 “192.168.1.100”）。正常情况下，ping 命令的响应时间应该很短，例如几十毫秒。但在遭受攻击时，ping 命令的响应时间会明显变长，甚至出现超时的情况。这是因为目标服务器忙于处理大量的 DNS 响应数据包，无法及时响应 ping 请求。
另外，尝试通过浏览器访问目标服务器上的网站或服务。如果目标服务器是一个 Web 服务器，在攻击前，我们可以正常访问其提供的网站。但在攻击过程中，浏览器会显示 “无法访问此网站” 或长时间处于加载状态，这表明目标服务器已经无法正常提供服务，因为其资源被大量的攻击流量耗尽，无法处理合法用户的访问请求。
为了更直观地展示攻击效果，我们可以使用截图或数据记录的方式。例如，使用iftop命令时，截取攻击前后网络带宽使用情况的截图，对比可以清晰地看到攻击导致的带宽占用变化；记录 ping 命令的响应时间，制作成表格或图表，展示攻击过程中响应时间的增长趋势。通过这些方式，我们能够更全面、准确地观察和分析目标服务器在遭受 DNS 服务器伪造请求放大 DDoS 攻击时的变化情况 。

七、危害与影响

（一）对目标服务器的直接影响

1. 服务中断：DNS 服务器伪造请求放大 DDoS 攻击对目标服务器最直接、最显著的影响就是服务中断。当大量放大后的 DNS 响应流量如汹涌的潮水般涌向目标服务器时，服务器的网络带宽会在短时间内被急剧消耗，就像一条原本可以顺畅通行的道路，突然被无数的车辆堵塞，正常的网络请求根本无法挤进去。同时，服务器的 CPU 和内存资源也会被这些大量无效的 DNS 响应数据包迅速耗尽。CPU 就像服务器的 “大脑”，原本它可以有条不紊地处理各种任务，但在攻击时，它不得不花费大量精力去解析和处理这些恶意数据包，导致无法及时响应合法用户的业务请求。内存则如同服务器的 “临时仓库”，被大量恶意数据包占用后，没有足够的空间来存储和管理正常业务所需的数据，最终使得服务器无法正常提供服务 。以电商平台为例，在 “双 11”“618” 等大型促销活动期间，网站的访问量会大幅增加，服务器需要处理大量的用户请求。如果此时遭受 DNS 服务器伪造请求放大 DDoS 攻击，服务器可能会因不堪重负而无法响应正常的用户下单、支付等请求，导致用户无法完成购物流程，商家的销售额也会因此受到严重影响。对于金融机构的在线交易系统来说，服务中断可能会导致交易无法进行，客户资金无法正常流转，不仅会给客户带来直接的经济损失，还可能引发客户对金融机构的信任危机 。

2. 数据丢失：除了服务中断，在某些极端情况下，DNS 服务器伪造请求放大 DDoS 攻击还可能导致目标服务器的数据丢失。当服务器在遭受攻击时，由于资源被大量占用，系统处于极度不稳定的状态。此时，服务器可能无法正常完成数据的写入、存储和备份操作。例如，正在进行的数据库事务可能会因服务器资源耗尽而被迫中断，导致部分数据写入不完整或丢失。对于一些重要的业务数据，如企业的财务报表、客户信息、订单数据等，一旦丢失，可能会给企业带来难以估量的损失。这些数据是企业运营的重要资产，丢失后可能会影响企业的决策制定、客户关系维护以及业务的正常开展。此外，数据丢失还可能引发法律风险，企业可能需要承担因数据丢失而对客户造成的损失赔偿责任 。

（二）对网络环境的影响

1. 网络拥塞：DNS 服务器伪造请求放大 DDoS 攻击对整个网络环境的影响也不容小觑，其中最突出的问题就是网络拥塞。在攻击过程中，大量的 DNS 响应数据包在网络中传输，这些数据包就像网络中的 “垃圾”，占用了大量的网络带宽资源。网络带宽就像一条高速公路，正常情况下，各种网络数据可以在上面有序地传输。但当大量攻击数据包涌入时，网络带宽被大量占用，就如同高速公路上突然出现了严重的交通堵塞，正常的网络流量无法顺畅通行。这不仅会导致目标服务器所在的网络出现拥塞，还可能影响到与之相连的其他网络，造成更大范围的网络拥堵。例如，在一个大型企业园区网络中，如果其中一台服务器遭受 DNS 放大攻击，大量的攻击流量可能会使园区网络的核心交换机不堪重负，导致整个园区网络的网速变慢，员工无法正常访问内部资源或进行外部网络访问，影响工作效率。对于互联网服务提供商（ISP）来说，网络拥塞可能会导致其网络服务质量下降，用户投诉增加，甚至可能会影响到其商业信誉和市场竞争力 。

2. 影响其他用户正常上网：由于网络拥塞，其他用户的正常上网也会受到严重影响。当网络中存在大量的攻击流量时，普通用户的上网体验会急剧下降。比如，用户在浏览网页时，可能会发现页面加载速度变得极慢，甚至长时间无法加载完成；观看在线视频时，视频会频繁卡顿，无法流畅播放；进行网络游戏时，会出现高延迟、掉线等情况，严重影响游戏体验。这些问题不仅会给用户带来极大的不便，还可能导致用户对网络服务提供商或相关网站产生不满，进而影响到这些服务提供商或网站的用户粘性和市场口碑。此外，对于一些依赖网络进行工作的用户，如远程办公人员、在线教育学生等，网络问题可能会导致他们无法正常开展工作或学习，造成工作延误或学习进度受阻 。

八、防范措施

（一）网络层面的防护

1. 配置防火墙：防火墙是网络安全的重要防线，在防范 DNS 服务器伪造请求放大 DDoS 漏洞时，合理配置防火墙规则至关重要。首先，要设置规则过滤异常的 DNS 流量。由于 DNS 服务器通常使用 UDP 协议，端口号为 53，所以可以配置防火墙规则，阻止源端口为 53 的 UDP 包进入网络。以常见的 iptables 防火墙为例，在 Linux 系统中，可以使用以下命令来添加规则：

iptables -A INPUT -p udp --sport 53 -j DROP
这条命令的含义是，在 INPUT 链（即进入网络的数据包链）中，添加一条规则，当数据包的协议为 UDP，并且源端口为 53 时，直接丢弃该数据包。这样可以有效地阻止攻击者利用 DNS 服务器的漏洞，通过伪造源端口为 53 的 UDP 包进行攻击。此外，还可以根据实际情况，设置更复杂的规则，如限制特定 IP 地址或 IP 地址段对 DNS 服务器的访问，只允许受信任的 IP 地址与 DNS 服务器进行通信 。
2. 限制 UDP 流量：DNS 服务器伪造请求放大 DDoS 攻击主要利用 UDP 协议进行，因此限制 UDP 流量是防范这种攻击的有效手段之一。UDP 协议是一种无连接的协议，它的特点是传输速度快，但可靠性较低。在网络中，UDP 流量通常用于一些对实时性要求较高的应用，如视频流、音频流等。然而，这也使得 UDP 协议容易被攻击者利用，发送大量的伪造数据包，从而引发 DDoS 攻击。
为了限制 UDP 流量，可以在防火墙或路由器上进行设置。例如，在 Cisco 路由器上，可以使用访问控制列表（ACL）来限制 UDP 流量。首先，创建一个 ACL，定义允许或拒绝的 UDP 流量规则：

access - list 101 permit udp any any range 1 1023 established
access - list 101 deny udp any any
上述命令中，第一条规则允许已建立连接的 UDP 流量通过，端口范围为 1 到 1023；第二条规则则拒绝其他所有的 UDP 流量。然后，将这个 ACL 应用到路由器的接口上，例如：

interface GigabitEthernet0/0
ip access - group 101 in
这样，就可以在不影响正常业务的前提下，有效地限制 UDP 流量，降低 DNS 服务器伪造请求放大 DDoS 攻击的风险。在限制 UDP 流量时，需要注意不要影响到正常的业务应用，要根据实际业务需求，合理设置流量限制规则。可以通过对网络流量的监测和分析，了解正常业务的 UDP 流量使用情况，然后据此制定合适的限制策略 。

（二）DNS 服务器配置优化

1. 限制递归查询：DNS 解析器的递归查询功能在一定程度上方便了用户的使用，但也为攻击者提供了可乘之机。在正常情况下，递归查询允许 DNS 服务器代替客户端向其他 DNS 服务器查询域名的 IP 地址，直到获取到最终的结果。然而，攻击者可以利用这一功能，通过向开放递归查询的 DNS 服务器发送大量伪造的查询请求，借助 DNS 服务器的递归查询能力，将攻击流量放大，对目标服务器发动 DDoS 攻击。

为了防范这种攻击，需要限制 DNS 服务器的递归查询功能。以常见的 BIND（Berkeley Internet Name Domain） DNS 服务器为例，在其配置文件named.conf中，可以通过修改recursion参数来控制递归查询。默认情况下，recursion参数可能设置为yes，表示允许递归查询。为了增强安全性，应将其设置为no，禁止递归查询：

options {
recursion no;
};
这样，DNS 服务器将不再接受来自外部的递归查询请求，只对本地授权的域名进行解析，从而大大降低了被攻击者利用的风险。对于一些需要递归查询功能的合法场景，如企业内部网络的 DNS 解析，可以通过设置访问控制列表（ACL），只允许特定的 IP 地址或 IP 地址段进行递归查询，进一步增强安全性 。
2. 仅响应可信源查询：设置 DNS 服务器仅响应来自可信源的查询，是增强 DNS 服务器安全性的重要措施。在默认情况下，一些 DNS 服务器可能会接受来自任意源的查询请求，这使得攻击者可以轻易地向 DNS 服务器发送伪造的查询请求，从而发动攻击。
为了改变这种情况，可以在 DNS 服务器上配置访问控制列表（ACL），指定允许进行查询的可信源 IP 地址或 IP 地址段。以 BIND DNS 服务器为例，在named.conf文件中，可以通过allow - query参数来设置允许查询的源：

options {
allow - query { 192.168.1.0/24; 2001:db8::/32; };
};
上述配置表示，只允许 IP 地址在192.168.1.0/24网段（这通常是企业内部局域网的网段）和 IPv6 地址在2001:db8::/32网段的主机对该 DNS 服务器进行查询。其他来源的查询请求将被拒绝，从而有效地防止了来自不可信源的恶意查询，增强了 DNS 服务器的安全性 。

（三）使用专业的 DDoS 防护服务

在面对复杂多变的网络攻击时，使用专业的 DDoS 防护服务是一种高效且可靠的防范手段。Cloudflare 作为知名的网络安全服务提供商，其 DDoS 防护服务具有显著的优势和独特的工作原理。
Cloudflare 在全球范围内部署了大量的节点，这些节点组成了一个庞大的分布式网络。当用户的网站接入 Cloudflare 的防护服务后，所有的网络流量都会首先经过 Cloudflare 的节点。其工作原理主要基于实时流量监测和智能过滤技术。Cloudflare 会实时监测网络流量的各项指标，包括流量的来源、大小、频率、请求类型等。通过先进的算法和机器学习技术，它能够快速准确地识别出正常流量和恶意的 DDoS 攻击流量。
对于 DNS 服务器伪造请求放大 DDoS 攻击，Cloudflare 会在网络边缘对 DNS 流量进行深度分析。当检测到异常的 DNS 查询请求，如源 IP 地址频繁变化、查询频率过高、查询类型异常等，它会立即采取相应的防护措施。一方面，Cloudflare 会将攻击流量引流到专门的清洗中心，在那里对流量进行清洗和过滤，去除其中的恶意成分。另一方面，它会通过智能算法调整流量的分发策略，将正常的流量合理地分配到各个节点，确保目标服务器能够正常处理合法用户的请求，而不会受到攻击流量的影响 。
除了 Cloudflare，还有其他一些专业的 DDoS 防护服务，如阿里云的 DDoS 高防 IP、腾讯云的大禹 DDoS 防护等。这些服务都采用了类似的分布式架构和流量清洗技术，能够为用户提供全方位的 DDoS 防护。它们的优势在于具有强大的防护能力，能够应对各种规模和类型的 DDoS 攻击；同时，这些服务通常具有较高的自动化程度，能够实时响应攻击，快速调整防护策略，无需用户过多的手动干预。而且，使用这些专业的 DDoS 防护服务，用户无需投入大量的资金和资源来建设和维护自己的防护体系，降低了网络安全防护的成本和难度 。

九、总结与展望

（一）对本次漏洞复现的总结

在本次 DNS 服务器伪造请求放大 DDoS 漏洞复现过程中，我们全面而深入地揭示了这一漏洞的原理与危害。从 DNS 服务器的基础概念入手，我们详细阐述了其在互联网中承担的域名与 IP 地址转换的关键作用，以及递归和迭代两种查询过程的工作机制。这为后续理解 DDoS 攻击，尤其是 DNS 服务器伪造请求放大 DDoS 漏洞奠定了坚实的理论基础。
通过对 DDoS 攻击的概述，我们了解到其分布式拒绝服务的本质，以及 SYN Flood、UDP Flood、ICMP Flood 和 HTTP Flood 等常见类型。而 DNS 服务器伪造请求放大 DDoS 漏洞，因其利用 DNS 服务器工作特性实现攻击流量放大，在 DDoS 攻击中占据着极为危险的地位，具有很强的隐蔽性和破坏力。
在漏洞复现环节，我们精心准备了所需的工具和环境，如 Scapy 和 Wireshark 工具，以及通过虚拟机搭建的模拟网络环境。利用 Scapy 构造带有伪造源 IP 地址的 DNS 查询请求，并将其发送到开放 DNS 服务器，成功观察到目标服务器在遭受攻击时的显著变化，包括服务中断、网络拥塞等，这直观地展示了该漏洞的危害。
这种漏洞对目标服务器的直接影响是毁灭性的，不仅会导致服务中断，使企业和用户无法正常使用相关网络服务，造成巨大的经济损失和用户体验下降，还可能在极端情况下导致数据丢失，对企业的运营和发展带来严重的打击。同时，它对整个网络环境也产生了恶劣的影响，引发网络拥塞，使得其他用户的正常上网受到严重干扰，降低了网络服务的质量和效率。
为了防范这一漏洞，我们从网络层面、DNS 服务器配置优化以及使用专业的 DDoS 防护服务等多个角度提出了一系列有效的防范措施。配置防火墙、限制 UDP 流量等网络层面的防护手段，可以有效地过滤异常流量，阻止攻击的发生；限制递归查询、仅响应可信源查询等 DNS 服务器配置优化措施，能够增强 DNS 服务器自身的安全性，减少被攻击的风险；而使用 Cloudflare 等专业的 DDoS 防护服务，则可以借助其强大的分布式网络和智能过滤技术，实时监测和抵御攻击，为网络安全提供全方位的保障。

（二）对未来网络安全的展望

随着信息技术的飞速发展，网络在我们生活中的渗透日益加深，网络安全的重要性也愈发凸显。未来，网络安全技术将朝着更加智能化、自动化和全面化的方向发展。
在智能化方面，人工智能和机器学习技术将在网络安全领域发挥更为关键的作用。通过对大量网络数据的分析和学习，智能系统能够自动识别和预测各种网络攻击行为，提前发出预警并采取相应的防护措施。例如，利用机器学习算法对网络流量进行实时监测，能够快速准确地识别出异常流量模式，判断是否存在 DDoS 攻击等威胁，并及时启动防护机制，实现对攻击的自动拦截和处理。
自动化技术的发展将使网络安全防护更加高效和及时。自动化的安全工具和系统可以自动完成漏洞扫描、安全配置更新、攻击响应等任务，大大减少了人工干预的需求，提高了防护的速度和准确性。同时，自动化技术还能够实现对大规模网络环境的实时监控和管理，及时发现和处理潜在的安全风险，确保网络的稳定运行。
网络安全防护将更加全面化，涵盖网络的各个层面和环节。不仅要加强对网络基础设施的保护，如 DNS 服务器、路由器、交换机等，还要关注应用层、数据层的安全。对于企业来说，要建立完善的网络安全体系，包括安全策略制定、员工安全培训、数据备份与恢复等多个方面，形成全方位的安全防护屏障。
作为普通用户，我们也应当积极关注网络安全，提高自身的安全意识。在日常上网过程中，要注意保护个人隐私信息，不随意点击来路不明的链接，不轻易下载未知来源的软件，定期更新系统和软件的安全补丁，使用强密码并定期更换等。只有每个人都重视网络安全，从自身做起，才能共同维护网络环境的稳定和安全，让网络更好地为我们的生活和工作服务。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。