DNS放大攻击是什么？

DNS放大攻击是需要基于大规模分布式拒绝服务DDOS攻击的，攻击者需要利用开放DNS解析器的功能去产生流量，使得目标服务器或网络不堪重负，直接导致服务器及其周围基础设施都无法访问。

DNS放大攻击的工作原理是怎样的？

大部分的流量攻击都是基于攻击者和目标web之间的带宽资源消耗差异来进行的。消耗差异经过多次的请求被放大之后，所产生的流量可直接导致网络基础设施中断。往往这类攻击，仅仅只需要多个小型的请求，即可达到洪流小伙。同一时间段，僵尸网络每个自动程序都发出这类请求时，就会使攻击效果加倍，攻击者不仅能直接躲避过检测，还能有效的收获攻击流量大增的好处。

由于每个自动程序给开放DNS解析器提出请求时都是具有欺骗性的IP地址，IP会收到来自DNS解析器的响应，产生的大流量会造成流量拥堵，造成拒绝服务的产生。

如何有效的防护DNS放大攻击？

鉴于攻击所产生的大量流量，服务器周围的基础设施也会因此受到影响。目前能有效防护DNS放大攻击的思路有三个：1、减少开放DNS解析器的总数；2、源IP验证，阻止欺骗性数据包离开网络；3、找专业的IDC企业制定安全防御策略。通常情况下，会建议寻找靠谱的IDC企业来做防护策略，可以更高效的防御住攻击。