DNS放大攻击Wireshark抓包实操：一眼识别攻击数据包+全网防御教程(图文)

前言

网站带宽瞬间跑满、服务器外网卡顿、机房上行带宽被打空、业务直接瘫痪，且攻击流量来源IP杂乱无规律，运维排查无从下手，这是DNS放大攻击（DNS Amplification Attack）最典型特征。
作为高频UDP反射放大类DDoS攻击，DNS放大攻击门槛极低、放大倍率高、溯源难度大，常年霸占机房Top3攻击榜单。想要精准取证、判别攻击、溯源IP，最优方式就是使用Wireshark抓包分析数据包。
本文从零教学：攻击原理、Wireshark专属过滤指令、分步抓包流程、正常DNS包VS攻击包区别、攻击特征判别、落地防护方案，全文实操可复刻，关键词全覆盖，适配百度收录，运维网安博主直接转载使用。

一、什么是DNS放大攻击？通俗原理讲解

1、核心定义

DNS放大攻击属于UDP反射放大DDoS攻击，利用开放递归DNS服务器漏洞，黑客伪造受害者IP作为请求源IP，向公网免费DNS发送大容量域名查询包，DNS服务器将超大字节应答包，全部回传给受害者，实现小发包、大流量打击。

2、攻击核心流程

① 黑客伪造源IP=网站受害者IP，构造极小DNS请求包
② 批量发送至未做权限管控的开放递归DNS公网节点
③ DNS服务器返回数十倍大小应答数据包，回灌受害者服务器
④ 上行带宽被打爆，网站丢包、超时、全网断访

3、关键数据：放大倍率

普通DNS请求包：60字节左右；ANY类型查询应答包：900+字节，放大倍率高达15倍，少量请求即可打满G口带宽，破坏力极强。

二、前置准备：Wireshark抓包前置配置

适配Windows/Linux全版本Wireshark，新手直接照搬配置，无需修改参数。

1、抓包端口说明

DNS协议默认端口：UDP 53端口，放大攻击全部依托UDP53发包，TCP53几乎无攻击流量。

2、两大专属过滤指令（直接复制使用）

 捕获过滤器（抓包前过滤，减少冗余流量）

udp port 53
 显示过滤器（抓包后筛选，精准筛选攻击流量）

dns && dns.qry.type == 255
指令释义：type255=DNS ANY泛查询，DNS放大攻击专属查询类型，正常业务极少使用。

3、抓包注意事项

1. 选择外网出口网卡抓包，内网网卡无法捕获回灌攻击流量；
2. 攻击高峰期抓包，数据包特征最明显；
3. 大容量流量建议分包保存，避免Wireshark卡顿崩溃。

三、分步实操：DNS放大攻击完整Wireshark抓包步骤

零基础一步一操作，新手可直接复刻取证

步骤1：选定网卡，开启捕获

打开Wireshark，选中服务器外网出口物理网卡，顶部输入捕获过滤器 udp port 53，回车后点击开始抓包，过滤全部非DNS流量。

步骤2：筛选攻击特征数据包

抓包过程中，顶部显示过滤器输入 dns.qry.type == 255，直接过滤出所有ANY泛查询攻击包，剔除正常业务DNS解析流量。

步骤3：查看数据包核心字段（判别攻击核心）

点开数据包详情层，重点核对3个字段：
1. IP层：源IP为公网各类DNS节点IP，目的IP为本机网站IP；
2. UDP层：端口固定为53，请求包极小、应答包体积超大；
3. DNS层：Query Type = ANY（值255），查询随机泛域名。

步骤4：保存pcap取证文件

抓到攻击流量后，点击文件-导出指定数据包，保存pcap格式文件，可用于机房溯源、运营商申诉、安全取证。

四、重点对比：正常DNS包 VS DNS放大攻击包

对比维度	正常业务DNS包	DNS放大攻击包
查询Type值	A/AAAA/CNAME（1/28/5）	固定255（ANY泛查询）
数据包大小	请求、应答体积相近	应答包体积是请求10-15倍
源IP特征	用户客户端随机IP	全网公网开放DNS服务器IP
查询域名	网站真实业务域名	随机长字符、泛解析域名
发包频次	零散、无规律	高频、并发密集刷屏

五、Wireshark快速判定攻击3个特征（秒识别）

满足任意2条，即可判定遭遇DNS放大攻击
1. 大量UDP53端口入向流量，本机未主动发起DNS请求；
2. DNS查询类型大批量为Type255 ANY查询；
3. 入包字节远大于出包字节，流量单向灌入服务器；
4. 流量来源全是各大运营商、公共DNS节点IP。

六、服务器+防火墙双层防护（根治DNS放大攻击）

1、防火墙/云安全组应急拦截

1. 限制外网UDP53端口入流量速率，限流拦截海量回灌包；
2. 直接拦截DNS Type255 ANY类型查询应答包；
3. 开启UDP源校验，过滤伪造源IP反射流量。

2、自建DNS服务器加固（源头防被利用）

很多企业自用DNS被黑客当做放大节点，需配置加固：
① 关闭公网递归查询，仅内网允许递归解析；
② 禁用ANY泛查询指令，杜绝大包应答；
③ 绑定客户端IP白名单，限制DNS访问源。

3、运营商兜底防护

G口大带宽机房，直接联系运营商清洗UDP53反射流量，临时引流清洗，快速恢复业务带宽。

七、运维抓包高频避坑误区

 误区1：抓取TCP53流量，DNS放大攻击不走TCP，抓不到攻击包
 误区2：不做过滤直接全量抓包，流量过多无法筛选攻击特征
 误区3：只防护本机，忽略自建DNS成为攻击放大节点
 误区4：直接封禁UDP53，导致网站域名无法正常解析访问

八、全文总结

DNS放大攻击属于典型反射式DDoS，核心特征就是UDP53端口、Type255 ANY查询、大包回灌、DNS节点源IP。
运维排查直接复制两条Wireshark过滤指令，几分钟即可取证判别攻击；防护核心：限流UDP53、禁用ANY查询、关闭公网DNS递归、边界流量清洗，兼顾域名正常解析，同时阻断放大攻击流量。
后续更新pcap攻击数据包样本、防火墙一键拦截策略，运维站长可收藏备查。
#DNS放大攻击 #Wireshark抓包 #DDoS攻击防护 #网络运维干货 #网安实操 #DNS攻击研判 #服务器安全 #机房攻防 #UDP攻击 #网络抓包教程

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御