DNS放大攻击：小请求如何引发大瘫痪？——从原理到防御的全面解析(图文)

一、DNS 放大攻击：网络世界的 “借刀杀人” 术

（一）什么是 DNS 放大攻击？

在网络世界中，DNS 放大攻击是一种极具威胁的分布式拒绝服务（DDoS）攻击手段，其原理犹如精心策划的 “借刀杀人”。DNS，即域名系统，作为互联网的关键基础设施，承担着将人类易于记忆的域名（如www.baidu.com）转换为计算机能够识别的 IP 地址（如 192.168.1.1 ）的重要职责，就像是互联网的 “电话簿” 。正常情况下，当我们在浏览器中输入一个网址，计算机就会向 DNS 服务器发送查询请求，以获取对应的 IP 地址，进而访问目标网站。
而 DNS 放大攻击则是攻击者利用 DNS 协议的特性，发动的一场恶意攻击。攻击者通过向开放的 DNS 服务器发送精心构造的小规模查询请求，这些请求看似普通，但却暗藏玄机。攻击者会在请求中伪造源 IP 地址，将其设置为受害者的 IP 地址。DNS 服务器在接收到这些请求后，会按照正常的流程进行处理，并返回包含大量域名解析信息的响应。由于 DNS 服务器响应的数据包通常比攻击者发送的请求数据包大很多，这就实现了 “放大” 的效果。大量的响应数据包如同汹涌的潮水般涌向受害者的服务器，导致服务器的带宽被耗尽，资源被大量占用，最终无法正常提供服务，陷入瘫痪状态。
这种攻击方式，攻击者只需付出极少的资源，就能借助 DNS 服务器的 “力量”，对目标发动大规模的攻击，就像借助他人之手达到自己的目的，其隐蔽性和破坏性都不容小觑。

（二）为什么 DNS 会成为攻击 “放大器”？

1. 响应数据 “以小博大”：DNS 协议中，服务器响应包含大量域名解析信息，如 TXT、MX 记录等。这些额外的信息使得响应包通常比请求包大 10 - 50 倍，在某些极端情况下，甚至可达数百倍。例如，一个简单的 DNS 查询请求可能只有几十字节，而服务器返回的响应数据包可能包含数千字节的信息，这种巨大的大小差异为攻击者提供了可乘之机，他们可以利用少量的请求触发大量的响应流量，从而对目标进行攻击。

2. 开放解析器的 “漏洞”：互联网上存在大量 DNS 服务器默认允许递归查询，这成为攻击者可利用的 “免费放大器”。递归查询是指 DNS 服务器代替客户端进行完整的域名解析过程，它会向其他 DNS 服务器查询，直到获取到最终的解析结果。攻击者可以利用这些开放的递归 DNS 服务器，将伪造源 IP 地址（指向受害者）的查询请求发送给它们。由于这些服务器不加验证地响应来自任何源的查询，就会按照攻击者的意愿将大量响应数据发送到受害者的 IP 地址上，而攻击者则隐藏在背后，难以被追踪。

3. UDP 协议的 “无验证” 缺陷：DNS 常用 UDP 协议传输，UDP 协议具有 “无连接” 的特性，这意味着在数据传输前不需要像 TCP 协议那样建立连接，也无需进行复杂的握手过程。这种特性使得 UDP 协议的传输效率较高，但同时也带来了安全隐患。攻击者可以轻易伪造源 IP 地址，因为 UDP 协议在接收数据包时，不会对源 IP 地址进行严格的验证。攻击者利用这一缺陷，将查询请求的源 IP 地址伪装成受害者的 IP 地址，DNS 服务器在接收到请求后，会根据请求中的源 IP 地址将响应数据包发送给受害者，而攻击者则可以借此隐藏自己的真实身份，逍遥法外。

二、攻击三要素：如何实现 “以小搏大”？

（一）第一步：伪造源 IP 地址

在 DNS 放大攻击中，伪造源 IP 地址是攻击者实施攻击的首要步骤，也是整个攻击过程中的关键环节。攻击者通过特殊的技术手段，修改 DNS 查询请求数据包中的源 IP 地址字段，将其篡改为目标受害者的 IP 地址 。这一行为就如同在现实生活中，寄信人故意在信封上填写了一个虚假的回寄地址，而这个虚假地址正是无辜收件人的地址。
当 DNS 服务器接收到这些被篡改了源 IP 地址的查询请求时，它会按照正常的工作流程进行处理。DNS 服务器并不知道源 IP 地址是被伪造的，它会根据请求中的域名信息进行域名解析，并将解析结果封装在响应数据包中，然后按照请求数据包中的源 IP 地址，将响应数据包发送出去。由于源 IP 地址已被攻击者伪造成受害者的 IP 地址，所以这些响应数据包就会如攻击者所愿，全部流向受害者的服务器。
这种伪造源 IP 地址的行为，使得攻击者能够成功地隐藏自己的真实身份和位置，同时将攻击的矛头巧妙地指向受害者。受害者在遭受攻击时，很难第一时间确定攻击的真正来源，因为所有的攻击流量看起来都像是来自于正常的 DNS 服务器响应，这给受害者的防御和追踪工作带来了极大的困难。

（二）第二步：瞄准开放 DNS 解析器

在完成源 IP 地址伪造后，攻击者的下一个关键动作是寻找并利用开放 DNS 解析器。他们会运用各种扫描工具，在互联网的广阔范围内进行搜索，目标是那些配置存在缺陷、允许递归查询的公共 DNS 服务器。这些开放 DNS 解析器就如同网络中的 “薄弱环节”，为攻击者提供了可乘之机。
企业或家庭路由器中配置不当的 DNS 服务器，常常成为攻击者的重点关注对象。这类 DNS 服务器由于配置失误，可能会默认允许来自任何源的查询请求，而缺乏必要的访问限制和安全验证机制。攻击者一旦发现这些开放 DNS 解析器，就会向它们发送精心构造的 DNS 查询请求。
在这些查询请求中，攻击者通常会选择请求 “ANY” 记录类型。“ANY” 记录类型的查询，目的是获取目标域名的所有类型的资源记录，包括 A 记录（用于将域名解析为 IPv4 地址）、AAAA 记录（用于将域名解析为 IPv6 地址）、MX 记录（邮件交换记录，用于指定邮件服务器）、TXT 记录（文本记录，常用于存储一些额外的文本信息）等。通过请求 “ANY” 记录类型，攻击者可以诱导 DNS 服务器返回包含尽可能多信息的响应数据包，从而实现响应数据量的最大化，达到增强攻击效果的目的。

（三）第三步：僵尸网络 “群狼战术”

为了进一步增强攻击的威力，攻击者常常会借助僵尸网络发动大规模攻击，采用 “群狼战术”。僵尸网络是由大量被恶意软件感染的设备组成，这些设备包括物联网设备、个人电脑等，它们在被感染后，就如同被操控的 “傀儡”，完全听从攻击者的指令，成为攻击者手中的攻击工具，被称为 “肉鸡” 。
攻击者通过控制这些数量众多的 “肉鸡”，让它们同时向多个开放 DNS 解析器发送精心伪造的 DNS 查询请求。每一台 “肉鸡” 发送的请求虽然看似微不足道，但当大量的 “肉鸡” 协同工作时，所产生的攻击流量就会迅速汇聚成一股强大的洪流。这些请求会触发 DNS 解析器返回大量的响应数据包，这些数据包如同汹涌的潮水般涌向受害者的服务器。
2016 年发生的 Mirai 僵尸网络攻击事件，堪称 DNS 放大攻击的典型案例。Mirai 僵尸网络通过控制大量的物联网设备，如家用路由器、IP 摄像头等，向目标发动了 DNS 放大攻击。在这次攻击中，攻击者利用僵尸网络的力量，制造出了峰值高达 620Gbps 的惊人攻击流量。如此巨大的流量，远远超出了目标服务器的承受能力，直接导致美国东海岸部分网络陷入瘫痪状态。许多知名网站无法正常访问，大量用户的网络服务被迫中断，给互联网服务提供商和用户带来了巨大的损失和不便，也引起了整个网络安全领域的高度关注。

三、三大核心危害：企业与个人都无法幸免

（一）带宽资源瞬间耗尽

在 DNS 放大攻击中，大量 DNS 响应数据包如潮水般涌入目标网络，这会迅速占用 90% 以上的带宽。以某小型电商企业为例，其日常网络带宽能够满足数千用户同时在线浏览商品、下单支付等操作。然而，在遭受 DNS 放大攻击时，大量的 DNS 响应数据包疯狂涌入，瞬间占据了绝大部分带宽。原本流畅加载的商品页面，此时加载时间从原本的 1 - 2 秒延长至数十秒甚至更长，用户不断刷新页面，却始终无法正常浏览商品信息；下单支付功能也无法正常使用，订单提交按钮点击后毫无反应。这直接导致大量用户流失，许多潜在客户因为无法顺利完成购物流程，转而选择其他竞争对手的电商平台。据统计，该企业在遭受攻击的短短几个小时内，销售额锐减了 50%，后续还需要投入大量资金用于恢复客户信任和推广，以挽回损失 。

（二）服务器资源过载瘫痪

目标服务器在遭受 DNS 放大攻击时，需要处理海量的无效数据包，这使得 CPU 利用率在短时间内飙升至 100%。内存也会在大量数据的冲击下迅速耗尽，导致业务进程被迫中断。一家在线教育平台曾遭遇此类攻击，其服务器瞬间被大量 DNS 响应数据包淹没。平台上的课程直播无法正常进行，学生们只能看到卡顿的画面或者直接掉线；视频课程也无法正常播放，出现频繁加载、无法播放的情况；师生之间的互动交流功能也陷入瘫痪，教师无法及时解答学生的问题。恢复该平台的正常服务，技术人员花费了整整一天的时间，不仅要清理大量的攻击数据，还要对服务器进行全面检查和修复，以确保系统的稳定性和安全性。在这期间，平台的声誉受到了严重损害，许多学生和家长对平台的可靠性产生质疑，导致部分用户流失 。

（三）攻击溯源困难

由于 DNS 放大攻击具有源 IP 伪造和分布式攻击的特性，追踪真实攻击者的难度极大。攻击者通过控制大量的僵尸网络，将伪造源 IP 地址的查询请求发送到多个开放 DNS 解析器，使得攻击流量分散且来源复杂。在 2017 年的一次大规模 DNS 放大攻击事件中，攻击流量来自全球各地的数千个 IP 地址，这些 IP 地址大部分都是被伪造的。安全专家们在调查过程中，面对海量的虚假线索，犹如在茫茫大海中捞针，花费了数月时间，投入了大量的人力和物力，也未能准确追踪到攻击者的真实身份和位置。这不仅使得受害者难以对攻击者进行追责，也为网络安全事件的调查和防范带来了极大的挑战，增加了网络环境的不稳定性和不确定性 。

四、防御四步法：构建立体防护体系

（一）源头控制：关闭 DNS 服务器 “放大开关”

1. 限制递归查询：递归查询功能是 DNS 服务器的一个重要特性，但在开放状态下，它容易被攻击者利用。因此，我们应仅允许受信任的 IP 地址发起递归查询。以企业网络为例，我们可以通过配置 DNS 服务器的访问控制列表（ACL），将递归查询权限限制在企业内部网络的 IP 地址范围内。这样，当外部恶意请求试图利用递归查询进行攻击时，DNS 服务器会直接拒绝这些请求，从而从源头上切断攻击的可能性。

2. 禁用 EDNS 放大功能：EDNS（扩展的域名系统）协议为 DNS 服务带来了一些扩展功能，但也为攻击者提供了制造超大响应包的机会。我们可以通过修改 DNS 服务器的配置文件，限制 DNS 响应数据包的大小，从而避免攻击者利用 EDNS 协议进行放大攻击。例如，在 BIND（一款常用的 DNS 服务器软件）中，我们可以通过设置 “max-udp-size” 参数来限制 UDP 响应包的大小，将其设置为一个合理的值，如 1280 字节，以防止超大响应包的产生。

（二）流量清洗：实时过滤恶意数据

1. 部署 DDoS 防护服务：云盾、CDN 等专业的 DDoS 防护服务可以实时监测网络流量，通过建立异常流量模型，能够快速识别出 DNS 放大攻击的特征。当检测到源端口为 53 的异常 UDP 流量或超大响应包时，这些服务会自动将攻击流量引流到清洗中心，在清洗中心对恶意数据进行过滤和清洗，确保只有正常的流量返回源站，保障网络的正常运行。

2. 启用 IP 源过滤：运营商和企业可以在边界防火墙部署反向路径验证（RPF）机制。RPF 会检查每个进入网络的数据包的源 IP 地址，验证其是否与数据包进入的接口所期望的源 IP 地址一致。如果不一致，就说明该数据包的源 IP 地址可能是伪造的，防火墙会立即丢弃这些数据包。例如，当一个来自外部网络的数据包声称其源 IP 地址属于企业内部网络时，RPF 机制会识别出这是一个伪造源 IP 地址的数据包，并将其丢弃，从而有效阻止 DNS 放大攻击的流量进入网络。

（三）基础设施强化

1. 增加带宽冗余：为关键业务预留足够的带宽冗余是提高网络抗压能力的重要措施。企业应根据业务的发展趋势和历史流量数据，合理预估未来可能的流量峰值，并在此基础上预留一定比例的带宽，如 30% - 50%。这样，即使在遭受 DNS 放大攻击时，网络也能够有足够的带宽来应对攻击流量，避免因小流量攻击导致网络瘫痪，保障业务的正常运行。

2. 使用 DNSSEC 加密：DNSSEC（域名系统安全扩展）通过数字签名技术，为 DNS 数据提供了完整性和真实性验证。在 DNSSEC 的机制下，DNS 服务器在响应查询请求时，会附带一个数字签名，客户端可以通过验证这个签名来确认响应数据是否被篡改或伪造。这就大大减少了 DNS 响应被攻击者伪造和利用的风险，增强了 DNS 系统的安全性 。

（四）日常安全运维

1. 定期扫描开放解析器：企业可以使用 Nmap 等扫描工具，定期对 DNS 服务器进行扫描，检测其是否对外开放递归功能。Nmap 是一款功能强大的网络扫描工具，它可以通过发送特定的 DNS 查询请求，检测 DNS 服务器的响应情况，判断其是否存在开放递归的漏洞。如果发现有开放递归的情况，应及时修改 DNS 服务器的配置，关闭不必要的递归功能，修复配置漏洞，降低被攻击的风险。

2. 监控异常流量：利用 Wireshark、Prometheus 等工具实时监控 DNS 流量，设置合理的阈值报警。例如，当 DNS 响应包在总流量中的占比突然超过 30% 时，系统自动发出警报。Wireshark 是一款网络抓包分析工具，它可以深入分析 DNS 数据包的内容，帮助我们发现潜在的攻击迹象；Prometheus 则是一款开源的监控和报警系统，它可以对 DNS 流量等指标进行实时监控，并根据预设的阈值触发报警，及时通知管理员采取相应的措施 。

五、实战案例：Mirai 僵尸网络的 “教科书式” 攻击

2016 年，一场震惊全球的网络攻击事件 ——Mirai 僵尸网络攻击，如同一颗重磅炸弹，在互联网世界掀起了惊涛骇浪。这一事件堪称 DNS 放大攻击的 “教科书式” 案例，其攻击规模之大、影响范围之广，至今仍令人心有余悸。
Mirai 病毒就像一个隐匿在黑暗中的 “黑客指挥官”，悄无声息地感染了数百万台物联网设备，如摄像头、路由器等。这些设备在被感染后，就如同被施了魔法一般，失去了自主控制权，沦为了攻击者手中的 “傀儡”，组成了庞大的僵尸网络。
攻击者充分利用了这些被控制的物联网设备，发动了一场精心策划的 DNS 放大攻击。他们操控僵尸网络中的设备，向全球各地开放的 DNS 解析器发送大量精心伪造的 DNS 查询请求。这些请求看似普通的域名查询，但实际上却暗藏玄机。攻击者在请求中巧妙地伪造了源 IP 地址，将其设置为受害者的 IP 地址，从而成功地将攻击的矛头指向了无辜的目标。
当 DNS 服务器接收到这些伪造源 IP 地址的查询请求时，它们会按照正常的工作流程进行处理，并返回包含大量域名解析信息的响应数据包。由于 DNS 服务器响应的数据包通常比攻击者发送的请求数据包大很多，这就实现了 “放大” 的效果。大量的响应数据包如同汹涌的潮水般，源源不断地涌向受害者的服务器，导致服务器的带宽被瞬间耗尽，资源被大量占用，最终陷入瘫痪状态。
在这场攻击中，美国一家知名的域名注册商遭受了沉重的打击。攻击者通过 Mirai 僵尸网络，对该域名注册商发动了大规模的 DNS 放大攻击。攻击期间，流量峰值高达 300Gbps，如此巨大的流量远远超出了该注册商服务器的承受能力。服务器在海量的攻击流量冲击下，瞬间陷入了瘫痪状态，导致其管理的数百万个网站无法正常访问。无数用户在访问这些网站时，只能看到一片空白或者无法连接的错误提示页面。
这次攻击不仅给该域名注册商带来了巨大的经济损失，还对其声誉造成了难以挽回的损害。众多依赖该注册商服务的企业和个人用户，也因此遭受了严重的影响。许多企业的在线业务被迫中断，无法正常开展，导致订单流失、客户投诉等一系列问题；个人用户则无法正常访问自己喜爱的网站，影响了日常生活和工作。
Mirai 僵尸网络的攻击事件，也让人们深刻认识到了物联网设备安全与 DNS 配置漏洞所带来的双重风险。一方面，物联网设备在设计和生产过程中，往往存在安全漏洞，且用户在使用过程中很少对其进行安全设置和更新，这使得攻击者能够轻易地利用这些漏洞感染设备，将其纳入僵尸网络；另一方面，DNS 服务器的配置不当，如开放递归查询等，为攻击者提供了可乘之机，使得他们能够利用 DNS 协议的特性发动放大攻击。

结语：从 “被动防御” 到 “主动免疫”

DNS 放大攻击的本质是对协议缺陷和配置漏洞的利用，其低成本、高破坏性特征使其成为网络安全的长期威胁。企业和个人需从服务器配置、流量监控、基础设施三个层面构建防御体系，同时关注物联网设备的安全管理，避免成为攻击链中的 “薄弱环节”。在数字化时代，唯有主动排查漏洞、强化安全意识，才能让网络攻击无处遁形。（注：文中技术配置需由专业网络安全人员操作，攻击类技术仅可在授权环境下测试，切勿用于非法用途。）

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御