DNS放大和其他放大攻击一样，是一种反射攻击。在这种情况下，通过从DNS解析器向欺骗的IP地址引出响应来实现反射。所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。

在DNS放大攻击过程中，攻击者向打开的DNS解析程序发送一个具有伪造IP地址（受害者的）的DNS查询，提示其使用DNS响应回复该地址。由于发送了大量的假查询，并且有几个DNS解析程序同时回复，受害者的网络很容易被大量的DNS响应淹没。

放大反射攻击甚至更危险。“放大”是指引出与发送的原始分组请求不成比例的服务器响应。

为了放大DNS攻击，可以使用EDNS0 DNS协议扩展来发送每个DNS请求，该扩展允许大型DNS消息，或使用DNS安全扩展（DNSSEC）的加密功能来增加消息大小。还可以使用“ANY”类型的欺骗查询，其在单个请求中返回关于DNS区域的所有已知信息。

通过这些方法和其他方法，可以配置一个大约60字节的DNS请求消息，从而向目标服务器发出一个超过4000字节的响应消息——结果是70:1的放大系数。这将显著增加目标服务器接收的流量，并加快服务器资源耗尽的速度。

此外，DNS放大攻击通常通过一个或多个僵尸网络中继DNS请求- 大大增加了针对目标服务器或服务器的流量，并使跟踪攻击者的身份变得更加困难。

二、DNS放大攻击流程

三、DNS放大攻击解决方法

防止或减轻DNS放大攻击影响的常用方法包括加强DNS服务器安全性，阻止特定DNS服务器或所有开放的递归中继服务器以及速率限制。

但是，这些方法不会消除攻击源，也不会减少网络上的负载以及名称服务器和打开的递归服务器之间的切换。此外，阻止来自打开的递归服务器的所有流量可能会干扰合法的DNS通信尝试。举例来说，一些组织维护开放的递归服务器，以便移动工作人员可以从“可信”名称服务器解析。阻止来自这些服务器的流量可能会阻碍其访问。

本公司DDoS保护解决方案利用Anycast技术来平衡其全局高功率清理服务器网络中的攻击负载，其中流量经历深度数据包检测（DIP）过程，过滤掉恶意DDoS流​​量。

该服务支持按需过度配置和近乎无限的可扩展性，甚至可以处理最大的容量攻击。此外，DDoS保护可以通过BGP公告立即部署在任何网络基础设施之上，这使得机房成为所有传入流量的接收者。

部署后，公司网络可确保在客户端网络之外过滤DDoS流​​量，同时通过安全GRE隧道将所有干净流量转发到其最终目的地。

本公司有详细的防DDOS攻击解决方案，如有遇到攻击问题欢迎测试我公司防ddos攻击产品。