DNS放大攻击的对策

　　DNS放大威胁既然如此严重，安全研究人员也从未中断过对解决方法的研究。目前的解决方法主要包括两类，一类针对伪造地址的特性从源端对报文进行过滤，另一类则针对伪造请求的行为特性从服务器端对请求进行抛弃。

　　由于DNS放大攻击必须让DNS服务器将报文返回给被攻击对象，所以攻击主机必须将DNS请求报文的地址伪装成被攻击主机，如果ISP能够尽早地发现这种源地址的伪造，则可以直接从源头上过滤所有这种伪造源地址的攻击，这种过滤方式也被称为入口过滤（IngressDNS放大攻击的原理

　　DNS放大攻击（DDoS攻击的一种方式，也称DDoS反射攻击）并非一个新问题，其基本原理来自于DNS协议缺乏对请求地址的认证以及DNS 协议本身的放大效应。由于DNS的响应报文除了包含对请求域名的回答,往往还包含了该域名对应服务器的信息，一个几十字节的DNS请求报文获得的响应报文往往会从一百多字节到几百字节不等。而如果查询请求带上EDNS 选项和DNSSEC选项，响应报文因为要包含记录的签名信息（一

　　个签名一般为256字节）而会达到上千字节，就作者日常的监控中就曾经发现7000多字节的DNS响应报文。可Filtering）。目前主要的过滤方法包括IETF提出的BCP38（Best current Practice，最佳实践）和它的进化版本BCP 84。Ingress Filtering提出ISP了解自己所有客户所用的IP地址范围，如果从客户发来的报文源地址不属于该客户所使用的范围，则应该直接抛弃这些报文。最早的Ingress Filtering只对私有地址(RFC1918定义的10.0.0.0/8等3个网段)进行过滤，因为这些地址是不可路由的，所以也不应该进入ISP的路由器。在BCP 84中，则进一步提出了uRPF（单播反向路由查找技术），该技术对收到的报文源地址进行反向的路由判定，如果路由判定的接口和接收报文的接口一致，则该报文是合法的，反之则说明报文是伪造的，应予以抛弃。如果Ingress Filtering技术能广泛部署，则伪造地址的攻击就可以从源头上被控制，但目前看来这还只是一个美好的理想。

　　另一方面，DNS放大攻击要达到攻击的效果，需要反复向被利用的DNS服务器发送请求，由于请求的源地址集中在一个地址或一个聚合网段，服务器可以根据对地址请求行为的观察来识别并限制这些恶意的请求。

　　正常情况下，由于本地缓存的存在，正常用户不会频繁反复地请求相同的地址信息，最直接的解决想法是对来自不同地址的请求进行计数，这也是IETF主席PaulVixie提出的RRL（Response Rate Limiting，响应速率限制）技术的基本想法。RRL技术从DNS响应报文中提取请求者的地址、被请求的域名和请求结果状态组成一个三元组，如果某个三元组的计数在窗口时间内超过了阀值，则暂停对该地址的响应，直到下一个时间窗口开始。RRL技术并不直接分析请求报文，而是根据响应结果进行分析，同时为了提高检测的效率和防止攻击者分散查询对象来逃避检测，RRL在实际使用时，IP地址可按不同的掩码进行聚类后作为一个统计单元，同时域名也可以分成具体域名、Zone名和通配三种层次。

　　RRL目前已在多个DNS服务器软件中获得实现，也成为最主要的DNS服务程序BIND的补丁，尽管还未获得广泛使用，但已成为目前DNS服务器为数不多的防御武器。在2012年的一次DNS放大攻击中，被攻击利用的一台DNS服务器的管理员在配置了RRL 选项后，将18万每秒的DNS查询量降低了80%，把2.3G每秒的攻击流量降低到70M。

　　相对于较实用的RRL，德国黑客Lutz Donnerhacke提出的DNS惩罚(DNS Dampening)技术则显得更为理想化。Lutz认为，RRL基于时间窗口计数的方法只是降低了单台服务器的攻击速率，而攻击者可以将攻击分布到更多的DNS服务器上来继续实现攻击，于是借鉴BGP路由惩罚(BGP Route Dampening)的思路设计了DNS Dampen i n g 技术。该技术为每个地址建立一个惩罚分数(Penalty Point)，如果一个地址执行“ANY”查询、重复

　　使用查询ID 或者请求导致的响应报文过长都会被加上一个惩罚分数，当惩罚分数超过阀值，则会暂停该地址的查询请求，或者强制要求该地址使用TCP来进行DNS查询请求，惩罚分数会随着时间指数下降，直到分数低于阀值，才会重新响应该地址基于UDP的DNS请求。尽管模型看起来不错，但DNS Dampening技术有可能把正常的用户也列入惩罚名单，没有有效的防止误报的方法让它仍离实用有一段距离。

　　尽管有了各种各样的防御技术，但由于可以利用的DNS服务器数量众多，RRL、DNS惩罚这样的技术只能降低DNS放大攻击的效果，却无法真正的阻止它，抑制DNS放大攻击的希望还在于整个互联网的配合，从ISP的入口过滤，到终端用户的提高安全意识降低僵尸网络的规模，总之，这会是一场漫长的战争。