今年3月的安全新闻中，最引人注目的是针对安全组织Spamhaus的DDoS攻击，尽管有专业的云安全厂商CloudFlare为Spamhaus提供DDoS防御服务，但高达300Gbps的攻击峰值也让CloudFlare几临崩溃。300Gbps的流量足以让大多数的网站瞬间从互联网上消失，即使是专门提供云安全网络服务的专业厂商也很难抵御这样规模的攻击。根据Arbor Network提供的多年DDoS监测数据，虽然自2010年以来，数十Gbps的DDoS攻击已是常事，但峰值速率一般徘徊在100Gbps左右，此次的攻击不仅刷新了DDoS攻击记录，也揭示了互联网一直存在的脆弱性。

　　DNS放大攻击的原理

　　DNS放大攻击（DDoS攻击的一种方式，也称DDoS反射攻击）并非一个新问题，其基本原理来自于DNS协议缺乏对请求地址的认证以及DNS 协议本身的放大效应。由于DNS的响应报文除了包含对请求域名的回答，往往还包含了该域名对应服务器的信息，一个几十字节的DNS请求报文获得的响应报文往往会从一百多字节到几百字节不等。而如果查询请求带上EDNS 选项和DNSSEC选项，响应报文因为要包含记录的签名信息（一

　　个签名一般为256字节）而会达到上千字节，就作者日常的监控中就曾经发现7000多字节的DNS响应报文。可见一个DNS请求报文获得的响应报文长度可以放大10倍甚至到一百倍不等。而另一方面，DNS协议并不对请求者进行认证，因此攻击者可以伪造被攻击者的身份向被利用的DNS服务器发送大量的请求报文，而DNS服务器就会向被攻击者发送放大的响应报文流量。如果攻击者控制了一个僵尸网络，该网络中僵尸同时向DNS服务器发送大量的伪造请求报文，就会导致被攻击的服务器收到更大规模的流量。

　　一部分安全研究人员人为开放递归解析的DNS服务器是这一攻击手段的主要祸源，但其实DNS放大攻击并不一定需要开放递归查询服务器，思科的安全研究人员就发现存在大量针对非递归域名服务器，如根服务器.COM这样的顶级域名服务器的异常查询请求，而这些请求也被证实为DNS放大攻击的一部分。事实上，DNS放大攻击可以变化不同的查询请求形式和查询服务器对象，如DNS放大攻击高级形式图所示，只要能够把地址伪造成被攻击者，不管是什么域名服务器，都可以达到攻击效果。

　　但大量开放递归查询域名服务器的存在确实为DNS放大攻击提供了方便，因为这些服务器可以查询任何域名，而不像非递归服务器只能查询该服务器管辖的Zone内地址。根据Open DNS Resolve项目的调查，目前整个互联网存在2700多万个开放递归查询域名服务器，这些域名服务器成为DDoS攻击事实上的军火库。