DNS放大攻击是什么?该如何有效防御呢?

　　由于DNS系统庞大的数据资源和其天生的安全防护能力较弱，它逐渐成为网络攻击的关键对象，近些年来，DNS攻击事件日益增多，攻击类型也逐渐多样化，那么DNS放大攻击是什么?该如何有效防御?以下是详细的内容：

　　1、DNS劫持

　　DNS劫持，又称域名劫持，通常通过恶意软件、修改缓存、控制域名管理系统获得DNS分析控制，然后通过修改DNS分析记录或更改分析服务器，将用户引导到无法到达的网站或受攻击者控制的非法网站，以实现非法获取用户数据寻求非法利益的目的。

　　2、缓存投毒

　　攻击者将非法网络域名地址传输到DNS服务器，一旦服务器接收到非法地址，缓存就会受到攻击。有很多方法可以实现，例如使用客户ISP端的DNS缓存服务器的漏洞进行攻击或控制，以改变ISP中用户访问域名的响应结果;或者，黑客使用用户权威域名服务器上的漏洞，如果用户权威域名服务器可以作为缓存服务器，黑客可以实现缓存中毒，将错误的域名记录存储在缓存中，使所有使用缓存服务器的用户都能得到错误的DNS分析结果。与非法URL钓鱼攻击不同，DNS缓存中毒使用合法的URL地址，用户经常认为登录是他们熟悉的网站，但实际上是其他网站。

　　3、DDOS攻击

　　攻击者通过控制多台计算机，伪造大量源IP，不断向攻击目标发起大量DNS查询请求，使DNS服务器频繁进行全球迭代查询，导致网络带宽耗尽，无法进行正常的DNS查询请求。攻击者还利用DNS协议中的漏洞恶意创建过载请求，导致目标DNS服务器崩溃。

　　4、反射DNS放大攻击

　　DNS反射放大攻击主要是利用DNS回复包大于请求包的特点，放大流量，伪造请求包的源IP地址为受害者IP，将应答包的流量引入受害者服务器。

　　我们的分析请求长度很小，但结果很大，特别是查询所有类型的域名DNS记录，返回数据量更大，所以你可以使用分析服务器攻击目标地址服务器，使用控制机器启动伪造分析请求，然后分析结果返回到攻击目标。由于DNS分析一般是UDP请求，不需要握手，源地址属性容易伪造，部分“肉鸡”通常是合法的IP地址，我们很难验证请求的真实性和合法性。