2020年，據(jù)全球DNS威脅報告顯示，全球約有79%的公司遭遇過DNS攻擊，所有行業(yè)組織平均遭受過9.5次DNS攻擊。由此看來，DNS攻擊似乎“永無止境”，能應對DNS攻擊也是全球各行各業(yè)更大網(wǎng)站所需要掌握的技能。

而且，隨著技術的發(fā)展，黑客的攻擊手段也復雜多變，到底有哪些DNS攻擊方式呢?面對不同的DNS攻擊方式，我們又該如何處理?有哪些處理措施?下面聚名網(wǎng)小編就跟大家聊聊DNS攻擊方式和解決措施。

有哪些DNS攻擊方式?再細說對應的處理措施（推薦閱讀：聚名DNS：修改DNS能優(yōu)化網(wǎng)站打開速度嗎?）

1、DDoS攻擊

簡單來說，DDoS攻擊就是在同一時間內(nèi)向網(wǎng)站域名服務器發(fā)送超量DNS請求，以此來堵塞DNS服務器，讓其無法響應，導致用戶不能訪問站點。

舉個例子，某個線下店同一時間段只能接待50名客戶。這時有人雇傭了200人到該門店，此時，想消費的正常用戶就不能再進入門店了。

對于DDoS攻擊，可以使用基于硬件的網(wǎng)絡設備或云服務解決方案可以過濾或限制網(wǎng)絡流量。

2、IP欺騙

DNS默認依賴UDP協(xié)議，但由于UDP本身的特性，只需偽造數(shù)據(jù)包的IP地址，便可以輕易將源IP換成隨機IP。此時，即便攔截IP地址也無解決不了。這就需要使用DNS緩存服務器吸收大部分的DNS流量。

不過，DDoS攻擊者通常使用不存在的域名以確保解析器會轉發(fā)請求，對此，可以考慮如下措施：如果傳入請求的總數(shù)量超過閾值，則要求客戶端從UDP切換到TCP。切換后，由于TC 需要三次握手，則可以避免源IP欺騙。

3、反射型DDoS

除了源IP，攻擊者還會攻擊目的地 IP。也就是說攻擊者利用能觸發(fā)大量DNS回答的DNS請求，以放大DDoS的影響，從而擴大傷害。而且這時，合法的DNS服務器還會協(xié)助攻擊。

對此，就需要限制同一IP地址的DNS請求/回答速率。因為DNS解析器會使用緩存，所以請求轉發(fā)率會降低，能有效防御反射型DDoS攻擊。

4、緩存投毒

緩存投毒的目的是將訪客從真正的網(wǎng)站重定向到惡意網(wǎng)站。對此，可以使用 DNSSEC，DNSSEC 通過提供簽名過的 DNS 回答來阻止這類攻擊。

此外，建議對每條請求使用隨機查詢ID、對每條請求使用隨機源端口、丟棄重復的轉發(fā)請求并確保響應中所有區(qū)域均與請求相符合：query ID、name、class 和 type。

以上就是對“有哪些DNS攻擊方式?再細說對應的處理措施”的全部介紹了。