了解有关DNS服务器攻击有哪些？如何预防？

利用DNS服务器进行DDOS攻击

正常的DNS服务器递归查询过程可能被利用成DDOS攻击。假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。

攻击者拥有着足够多的肉鸡群，那么就可以使被攻击者的网络被拖垮至发生中断。利用DNS服务器攻击的重要挑战是，攻击者由于没有直接与被攻击主机进行通讯，隐匿了自己行踪，让受害者难以追查原始的攻击来。

DNS缓存感染

攻击者使用DNS请求，将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。

DNS信息劫持

TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问，这样他就被欺骗到了别处而无妨连接想要访问的那个域名。

DNS重定向

攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。

ARP欺骗

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

ARP欺骗通常是在用户局网中，造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后，则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器，以使访问导向错误指向的情况。

本机劫持

本机的计算机系统被木马或流氓软件感染后，也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。

ddos攻击防护思路？

1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要
尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好
了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻
击是非常有效的。

2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此
技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过
程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用
NAT，那就没有好办法了。

3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都
很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在
1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽
就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M
的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为
10M，这点一定要搞清楚。

4、升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，
服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，
若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，
别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用
3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入
侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易
等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机
去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此
外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网
站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是
默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能
抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化TCP/IP堆栈安全》。
也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN
Cookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施
以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然
不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮
巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，
只要投资足够深入。