域名系统（DNS）服务器是互联网的“电话簿“；互联网设备通过这些服务器来查找特定Web服务器以便访问互联网内容。DNS洪水攻击是一种分布式拒绝服务（DDoS）攻击，攻击者用大量流量淹没某个域的DNS服务器，以尝试中断该域的DNS解析。如果用户无法找到电话簿，就无法查找到用于调用特定资源的地址。通过中断DNS解析，DNS洪水攻击将破坏网站、API或Web应用程序响应合法流量的能力。很难将DNS洪水攻击与正常的大流量区分开来，因为这些大规模流量往往来自多个唯一地址，查询该域的真实记录，模仿合法流量。

DNS洪水攻击的工作原理

DNS洪水攻击不同于DNS放大攻击。与DNS洪水攻击不同，DNS放大攻击反射并放大不安全DNS服务器的流量，以便隐藏攻击的源头并提高攻击的有效性。DNS放大攻击使用连接带宽较小的设备向不安全的DNS服务器发送无数请求。这些设备对非常大的DNS记录发出小型请求，但在发出请求时，攻击者伪造返回地址为目标受害者。这种放大效果让攻击者能借助有限的攻击资源来破坏较大的目标。

如何防护DNS洪水攻击？

DNS洪水对传统上基于放大的攻击方法做出了改变。借助轻易获得的高带宽僵尸网络，攻击者现能针对大型组织发动攻击。除非被破坏的IoT设备得以更新或替换，否则抵御这些攻击的唯一方法是使用一个超大型、高度分布式的DNS系统，以便实时监测、吸收和阻止攻击流量。