介绍DNS Reply flood攻击和防御原理。
DNS Reply Flood是指攻击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器或主机,从而消耗服务器的处理性能。
FW基于目的地址对DNS回应报文速率进行统计,当DNS回应报文速率超过阈值时,启动源认证。
当FW收到DNS Reply报文时,构造携带新的Query ID和源端口的DNS Request探测报文。当FW再次收到对端发出的DNS Reply报文时,检查DNS Reply报文中的Query ID和源端口与DNS Request报文中是否一致,如果一致则将源IP地址加入白名单。处理过程如图1所示。
其主要原理可以归结成,当FW在一段时间内接收到大量的DNS reply报文的话,就会促使防火墙去发送DNS探测,如果目的主机可以进行正常的DNS回复,那么就说明发送DNS reply报文的主机是一个正常提供DNS服务的主机