近日，一种新的巨大的通过DNS反射攻击的DDoS攻击开始出现。报告称其最高峰时候流量达300 Gbps，是过去最高纪录的两倍。

　　专家称，这种利用现有的互联网DNS服务器进行的巨大攻击将日渐流行，这意味着黑客们将不再需要建立或者租用一个属于自己的僵尸网络。这些类型的攻击被称为反射(或者放大)攻击，因为相对与较少的针对一个DNS服务器的小请求而言，其将导致明显的更高数量的响应及流量以转发给受感染者。

　　不过有一个好消息是，这种类型的攻击之前已经遇到过，从某种程度上来讲其本质上没有发生太大变化。可以说，DNS反射攻击与当年的垃圾邮件充斥互联网是一个相类似的问题。

　　是什么使得DNS反射攻击在开放的互联网DNS解析器上继续存在？一个DNS服务器如果不在接受和转发查询域名,便会被认为是一个“开放”的解析器。这些开放解析器可以以这种方式对感染者生成流量荷载。通常一个解析器是不需要开放的——它通常只是导致错误配置甚至让操作者不知道它的存在。目前，这些服务器中的开放的解析器达2500万个。如果他们被认为是一个僵尸网络，那么这将成为有史以来规模最大的僵尸网络。

　　另一个方面，必须强化实施使DNS反射攻击延迟最小化的投入。每个人都希望互联网能够更加快速，而一个响应的DNS系统是其中的关键。运营商部署的非常非常大的DNS系统可以对每秒数以百万计的查询作出回应。而单包的请求和响应则是通过UDP来实现这种规模。但无状态特性的UDP意味着它并不能提供身份验证，实际上是“难以捉摸的”——攻击者可以很容易地通过UDP数据包和DNS服务器进行恶意攻击，而这一过程我们可能无法得知，攻击者可能会通过无辜的受感染者无意中的响应进行攻击。

　　那么，是否有办法走出这个DNS 与DDoS攻击的陷阱呢?

　　或许，一个智能DNS基础设施能够解决这个问题。要注意的是，智能基础设施不只具有的积极影响，同时也具有破坏能力。而企业、供应商和服务商可以共同为DNS基础设施带来更高层面的情报。

　　供应商需要做出更智能的DNS的产品。当前的防御技术，如忽略第一个查询请求的做法是非常原始的，其并不能解决问题。新型的DNS服务器必须在受感染状态下意识到攻击并做出限制其他们反应速率的措施。

　　通过检测攻击然后重定向输入使用TCP的持续攻击的查询条件，这一想法或许到了将要实现的时候。而这可能会导致更高的延迟，意味着一些服务器需要升级，因为在应对TCP的同时许多互联网DNS服务器将付出更大的性能代价，但这应该只是暂时的。

　　但面对这种形式的攻击，企业也应该通过缩减他们的配置来防止这种放大请求。具体来说, 服务器应该只对整个区域除中专门列入白名单地址转储进行响应。企业还可以阻止并不多见的没有任何记录类型的请求。

　　这样的好处之一，是帮助减轻垃圾邮件的攻击。作为情报服务，国际反垃圾邮件组织将监控互联网中的开放邮件中继器和广告——企业将根据国际反垃圾邮件组织提供的列表自动阻止垃圾邮件。对DNS来说，还有几项免费服务，以监控数百万在互联网上公开的DNS继电器。

　　到目前为止,试图关闭2500万开放的解析器的唯一方法是：公开这些列表。不过很显然,只公示这个列表是不够的，事实上，发布这个列表就像一个巨型僵尸网络为那些希望使用它的人而分发布的地址!也许采取更极端的措施的时候已经到来,。进一步说，如果一个“好的”DNS服务器能够阻止解析器的响应，这可能会迫使被列入黑名单的对象清除他们的攻击行为。

　　不过，如果不尽快构建起智能DNS基础设施的话，DDoS攻击与DNS反射攻击或许只是才刚刚开始而已。