UDP DNS Query Flood攻擊原理

UDP DNS Query Flood攻擊實質上是UDP Flood的一種，但是由于DNS服務器的不可替代的關鍵作用，一旦服務器癱瘓，影響一般都很大。

UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務器發送大量的域名解析請求，通常請求解析的域名是隨機生成或者是網絡世界上根本不存在的域名，被攻擊的DNS 服務器在接收到域名解析請求的時候首先會在服務器上查找是否有對應的緩存，如果查找不到并且該域名無法直接由服務器解析的時候，DNS 服務器會向其上層DNS服務器遞歸查詢域名信息。域名解析的過程給服務器帶來了很大的負載，每秒鐘域名解析請求超過一定的數量就會造成DNS服務器解析域名超時。

根據微軟的統計數據，一臺DNS服務器所能承受的動態域名查詢的上限是每秒鐘9000個請求。而我們知道，在一臺P3的PC機上可以輕易地構造出每秒鐘幾萬個域名解析請求，足以使一臺硬件配置極高的DNS服務器癱瘓，由此可見DNS 服務器的脆弱性。同時需要注意的是，蠕蟲擴散也會帶來大量的域名解析請求。

UDP DNS Query Flood防護

1. 在UDP Flood的基礎上對 UDP DNS Query Flood 攻擊進行防護
2. 根據域名 IP 自學習結果主動回應，減輕服務器負載(使用 DNS Cache)
3. 對突然發起大量頻度較低的域名解析請求的源 IP 地址進行帶寬限制? 在攻擊發生時降低很少發起域名解析請求的源 IP 地址的優先級
4. 限制每個源 IP 地址每秒的域名解析請求次數

通過設置金盾防火墻的UDP防御參數，可以非常有效的防御此類攻擊！

下圖是通過金盾防火墻針對服務器的53端口（DNS解析端口）設置的UDP防御參數，可以非常有效的防御UDP DNS Query Flood：

參數設置請參考：設置金盾TCP端口保護，一勞永逸杜絕被黑客惡意掃描，或咨詢金盾防火墻售后服務QQ。