UDP DNS Query Flood攻击原理

UDP DNS Query Flood攻击实质上是UDP Flood的一种，但是由于DNS服务器的不可替代的关键作用，一旦服务器瘫痪，影响一般都很大。

UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

黑客攻击根据微软的统计数据，一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道，在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的DNS服务器瘫痪，由此可见DNS 服务器的脆弱性。同时需要注意的是，蠕虫扩散也会带来大量的域名解析请求。

UDP DNS Query Flood防护

1. 在UDP Flood的基础上对 UDP DNS Query Flood 攻击进行防护
2. 根据域名 IP 自学习结果主动回应，减轻服务器负载(使用 DNS Cache)
3. 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制?在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级
4. DDOS防火墙限制每个源 IP 地址每秒的域名解析请求次数

通过设置DDOS攻击云防御的UDP防御参数，可以非常有效的防御此类攻击！

下图是通过DDOS攻击云防御针对服务器的53端口（DNS解析端口）设置的UDP防御参数，可以非常有效的防御UDP DNS Query Flood：

参数设置请参考：设置冰盾DDOS防火墙TCP端口保护，一劳永逸杜绝被黑客恶意扫描，或咨询冰盾DDOS防火墙官方网站服务QQ。

　　在租高防抗DDOS攻击服务器的时候一定要注意选择DDOS防御高防机房，如这篇文章所说的僵尸DDOS攻击UDP DNS Query Flood攻击原理与使用DDOS攻击云防御进行防护让大家了解网络的稳定性和必要性，让自己处于网络不败之地，在选择抗DDOS防护的时候，一定要选择高防网络！www.ddosy.com 是你不二的选择！欢迎大家来选购和支持！支持ddos云防御。