为了对抗 DDoS(分布式拒绝服务)攻击伱需要对攻击时发生了什么有一个清楚的理解.。简单来讲DDoS 攻击可以通过利用服务器上的漏洞，或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击，你可以按照下面列出的步骤来做

1. 如果只有几台计算机是攻击的来源，并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份ACL（访问控制列表) 来阻断这些来自这些 IP 嘚访问如果可能的话 将 web 服务器的 IP 地址变更一段时间，但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的IP那这一措施及不再有效了。

2. 如果你确定攻击来自一个特定的国家可以考虑将来自那个国家的 IP 阻断，至少要阻断一段时间.

3. 监控进入的网络流量通过这种方式可以知道谁在访问你的网络，可以监控到异常的访问者可以在事后分析日志和来源IP。在进行大规模的攻击之前攻击者可能会使用少量的攻擊来测试你网络的健壮性。

4. 对付带宽消耗型的攻击来说最有效（也很昂贵）的解决方案是购买更多的带宽。

5. 也可以使用高性能的负载均衡软件使用多台服务器，并部署在不同的数据中心

6. 对Web和其他资源使用负载均衡的同时，也使用相同的策略来保护DNS

7. 优化资源使用提高web server嘚负载能力。例如使用apache可以安装apachebooster插件，该插件与varnish和nginx集成可以应对突增的流量和内存占用。

8. 使用高可扩展性的DNS设备来保护针对DNS的防ddos攻击擊可以考虑购买的商业解决方案，它可以提供针对DNS或TCP/IP3到7层的防ddos攻击击保护如果想获得更多的服务支持（国外的安全服务一般是没有售後的，如果遇到问题只能提交工单进行解决效率很低。）可以考虑选择国内的安全服务商。推荐、和

9. 欺骗，先针对内网创建 ACL然后應用到互联网的接口上。

10. 使用第三方的服务来保护你的网站有不少公司有这样的服务，提供高性能的基础网络设施帮你抵御拒绝服务攻擊你只需要按月支付几百美元费用就行。

11. 注意服务器的安全配置避免资源耗尽型的 DDoS 攻击。

12. 听从专家的意见针对攻击事先做好应对的應急方案。

13. 监控网络和 web 的流量如果有可能可以配置多个分析工具，例如：Statcounter 和 Google analytics这样可以更直观了解到流量变化的模式，从中获取更多的信息

14. 在路由器上禁用 ICMP。仅在需要测试时开放 ICMP在配置路由器时也考虑下面的策略：流控，包过滤半连接超时，垃圾包丢弃来源伪造嘚数据包丢弃，SYN 阀值禁用 ICMP 和 UDP 广播。

最后多了解一些 DDOS 攻击的类型和手段并针对每一种攻击制定应急方案。

在上个系列《你的DNS服务真的安全麼》里我们介绍了DNS服务器常见的攻击场景，看完后你是否对防ddos攻击击忧心重重？本节我们来告诉你怎么破局！

首先回顾一下防ddos攻击擊的原理。DDoS是Distributed Denial of Service的简称即分布式拒绝服务攻击，其利用处于不同位置的足够数量的僵尸主机产生数目巨大的数据包对一个或多个目标实施DoS攻击耗尽受害端的网络带宽、系统资源，使受害主机或网络丧失提供正常网络服务的能力

【传统网络对防ddos攻击击的防御】

那传统网络昰怎么对防ddos攻击击进行安全防御的呢？简单来讲传统安全技术的防护手段，通常是代替server端来响应client发过来的请求并通过client的下一步动作有無跟进继续请求，来判断该请求是否来自真实用户因为如果是肉鸡发起的攻击行为，通常不会再有下一步的动作被匹配到而如果某个特定的client IP一旦被认定为是真实请求的IP，则该IP会被放入对应的“白名单池”后续一段时间内，当该IP继续请求时便会被认为是合法的。可参栲如下示意图：

这只是一个简单的原理模拟图有些在策略上可能不一定适用黑白名单IP list。

【传统权威DNS服务器对DDoS的防御手段】

知道了DDoS的常用防御手段我们再来说说，对于传统的权威DNS服务器是怎么防护防ddos攻击击的。对于权威DNS而言默认的请求都是基于UDP，而且DNS协议里面明确说奣了DNS服务器可以限制为TCP提供的资源所以权威DNS的防ddos攻击击防御最重要的是如何防住UDP攻击。 但是UDP DDoS防御的最大的问题莫过于UDP没有会话不能通過包的交互来判断某个请求是否为攻击行为，仅仅查看某个DNS数据报文是不可能区分是否为攻击请求或者真实用户请求的因此传统安全技術首要地工作就在于需要将缺乏会话交互的UDP一来一回请求转换成为具有会话记录的UDP多来多回请求，它们会利用DNS协议的特点采用如下技术进荇防御：

利用DNS的特性递归请求具有迭代查询一直到获取最终结果的特点，直接代替DNSserver给client返回一个伪造的唯一随机字符串cname域名并根据该源IP昰否继续发起针对该cname域名的请求来判定，该IP是否为正常请求很显然，如果某个IP马上跟进发起了该cname域名的请求则该IP是可被信任的；相对哋，如果某个IP在规定的超时时间内并没有发起针对该cname域名的请求则该IP将被判定为攻击者

利用DNS的特性，在DNS请求client遇到DNS应答flag字段中TC标记为1时必嘫会发起TCP DNS请求的特点直接代替DNS server给client返回一个伪造的空应答但该应答flag字段中TC标记为1，并根据该源IP是否继续发起针对该域名的TCP的DNS请求来判定該IP是否为正常请求。很显然如果某个IP马上跟进发起了TCP的DNS请求，则该IP是可被信任的；相对地如果某个IP在规定的超时时间内并没有发起针對的TCP请求，则该IP将被判定为攻击者

利用DNS的特性，在DNS请求client在超时时间内没有收到DNS应答时会重发该请求的特点传统安全直接丢弃该首包请求，并根据该源IP是否继续发起针对这个域名的第二次请求来判定该IP是否为正常请求。很显然如果某个IP针对性地发起了第二次请求，则該IP是可被信任的；相对地如果某个IP在规定的超时时间内并没有发起第二次请求，则该IP将被判定为攻击者

由以上信息我们可以知道，这彡种手段其原理都是通过将原来的DNS的UDP一来一回请求转换成为具有会话记录的UDP多来多回请求并通过判断第二次请求的特点来判定该源IP是否為真实用户访问行为或者攻击行为，并随之进行对应的白名单/黑名单操作

【传统方案在权威DNS防护中存在的问题】

以上的传统方案是不是僦能完全保护我们的权威DNS了呢？其实还是存在一些防护的问题以下我们总结了权威DNS防护可能遇到的问题：
首先从首包丢弃来讲，这是在權威DNS防御中基本没有被采用的技术原因主要是递归DNS在遇到权威查询请求被丢弃时会根据SRTT算法另外选择其他的权威服务器，导致传统安全基本上无法收到所谓的“第二次请求”因此误杀的概率极高。同时权威丢弃递归发过来的查询会对递归服务器的资源占用造成严重影響，这种情况下递归服务器可能会根据自身保护的策略直接丢弃该域名的正常请求有可能造成更严重的故障。
2、 其次是TC重传相对于CNAME重傳的策略，TC重传主要的好处在于并没有从数据内容信息上去进行篡改并没有“伪造”对应的应答；而重大的缺陷在于需要安全服务DNSserver端支歭TCP的请求，这个在性能上是非常大的考验带来的被打瘫的风险反而会进一步加大。另外有一部分ISP的 LocalDNS根本不支持TCP也是一个重要的问题。
洅来谈CNAME重传前文提到了CNAME重传最大的问题在于“伪造”了一个虚构的应答，正常流程中这个“伪造”的应答只起到中间传递的结果不会有其他方面的影响但是现实情况中，ISP侧的各种“缓存递归分离”“缓存加速应答”技术都会对正常的流程进行篡改导致前面提到的这个“伪造”的结果被当成正确的结果直接回给终端用户；更要命地是，ISP侧的DNS各种“优化TTL”的技术还会把这种问题严重放大最终导致严重的故障。

针对这种问题最终我们可能看见类似的错误结果：

1、 总结，通过上面针对性的描述我们大概知道了这些方法用在DNS上都有或多或尐的问题。当然其实还包括一些安全集群DNS会话状态数据一致性、互联网原生丢包带来的黑白名单误杀、伪造IP攻击影响真实IP带来的误杀等各种情况下的误杀，这部分误杀带来的影响也不可小视

【权威DNS攻击的防护重点】

说了这么多，权威DNS究竟如何防说真的，DNS系统本身的优異性能非常关键打铁还需自身硬，还是建议选择一款性能优异的服务器作为权威的DNS服务器从原理上来讲，传统安全把缺乏会话交互的UDP┅来一回请求转换成为具有会话记录的UDP多来多回的策略比起单纯的回复一个DNS应答更耗费计算资源比如在同样的性能条件资源下，回复一個所谓的“cname应答”或者“tc应答”还不如直接回复原生的DNS应答，粗略比较下来两者之间耗费CPU指令集并没有什么差别当然前提最重要的是DNS系统要有卓越的性能，超大的带宽有能力媲美安全服务器甚至优于安全服务器。阿里云解析DNS具备单机千万级QPS遍布全球的超大规模集群，具备anycast的架构、依托阿里巴巴大容量、稳定的基础网络能够轻松抵抗过亿级的防ddos攻击击。阿里云解析DNS绝对值得你的信赖（--》了解）
说唍了防ddos攻击击防护，下一章我们将介绍DNS操作安全相关的内容大家继续关注哦！