Как предотвратить DDOS-атаки на основе UDP-флуда на DNS-сервер? [duplicate]
На этот вопрос уже есть ответ здесь:
- Я подвергаюсь DDoS. Что я могу сделать? 5 ответов
В данный момент я изучаю сетевые технологии, и мне пришло в голову, что можно легко подделать DNS-запросы с поддельными IP-адресами (поскольку они используют UDP). Поскольку DNS полагается на UDP для связи, не мог бы злоумышленник послать миллионы поддельных запросов на DNS-сервер (возможно, даже на корневой сервер?) и легко вывести его из строя? Я не могу придумать хороший способ предотвратить это (кроме перехода на другой протокол).
Да, это возможно. Не легко заблокироваться, также, так как взломщик может подделать исходный IP, чтобы быть одним почти из четырех миллиардов дюйм/с. Однако много нападений, таких как это может быть фильтровано путем исследования данных DNS в датаграмме. Много лавинной рассылки нападает или на использование недопустимые данные, или используйте те же данные много раз. Это может использоваться для дифференциации допустимого трафика от недопустимого трафика, если у Вас есть сетевое оборудование, способное к глубокой проверке пакетов. Нападение будет все еще использовать довольно мало Вашей пропускной способности, но можно, по крайней мере, помешать ему перегружать сервер имен.
Обычно, тем не менее, сам сервер имен не является целью для этих видов нападений. Вместо того, чтобы использовать случайный исходный IP, исходный IP установлен на ту из реальной цели: нападение отражения DNS. Очень короткие вопросы, приводящие к длинным ответам, присланы в сервер имен, и сервер имен отправляет ответ на целевой IP-адрес, лавинно рассылая его с трафиком. Это легче отфильтровать на стороне сервера имен, так как это появляется как единственный источник, так как это так предназначено.
Как любая другая DoS-атака нет никакого предотвращения или метода защиты, единственный инструмент, который Вы имеете, должен добавить пустые маршруты от исходных IP-адресов. Даже если Ваш маршрутизатор блокирует трафик, Вы все еще тратите впустую входящую пропускную способность и следовательно запрещаете другого пользовательского доступа к сервису.
В конечном счете необходимо связаться с интернет-организациями ближе к источнику для подобного вырезания источника от Интернета.
Таким образом для ответа на вопрос все можно ли действительно сделать, действительно ли условие является сервисом, достаточным, что один хост не может DoS Вы, но спрашивать себя, что происходит, когда ботнет запускает DoS? Масштаб хостов лишает возможности иметь схему защиты, которая также не влияет на обычных пользователей.