目前我正在研究networking,而且我发现,使用伪IP地址(因为他们使用UDP)可以很容易地伪造DNS请求。 由于DNS依靠UDP进行通信,恶意用户无法将数以百万计的伪造请求发送到DNS服务器(甚至可能是根服务器?)并轻易将其拒之门外? 我想不出有什么好办法来防止这个(除了切换到另一个协议)。
对的,这是可能的。 要封锁也不容易,因为攻击者可以将源IP伪造成近40亿IP地址之一。 但是,像这样的很多攻击可以通过检查数据报内的DNS数据来过滤。 大量的洪水攻击要么使用无效的数据,要么一遍又一遍地使用相同的数据。 如果您的networking设备能够进行深度数据包检测,则可以使用此function区分有效stream量和无效stream量。 这个攻击仍然会占用你的带宽,但是至less可以防止你的域名服务器过载。
通常情况下,名称服务器本身不是这类攻击的目标。 源IP不是使用随机源IP,而是设置为真实目标的源IP:DNSreflection攻击。 非常短的问题导致长答案被发送到名称服务器,名称服务器将答案发送到目标IP地址,充斥着stream量。 这在名称服务器端更容易过滤,因为它显示为一个单一的源,因为它是如此针对性。
像任何其他DoS攻击一样,没有预防或保护方法,唯一的工具是从源IP地址添加空路由。 即使您的路由器阻塞了stream量,您仍然在浪费传入的带宽,从而拒绝其他用户访问该服务。
最终,您需要联系距离信息来源较近的互联网组织,以便类似地将互联网的信息源切断。
所以要回答这个问题,你所能做的就是提供足够的服务,让一个主机不能拒绝你,但是问自己当一个僵尸networking启动一个DoS时会发生什么? 主机的规模使得不可能有不影响普通用户的保护scheme。