针对使用UDP传输的DNS服务的防御策略包括源限流和防御。
说明: AntiDDoS对知名协议的识别是基于端口号判定的,对于53端口的非DNS协议,可能会被误识别为DNS业务而命中相应策略丢弃,请不要将知名端口号用于其他业务,以免命中防御策略,而影响正常业务。
源限流
DNS Request限速
针对DNS Request Flood防御时,将源IP地址的DNS请求报文的流量限制在“限速阈值”范围内。当DNS请求报文的流量超出阈值时,检测设备将向ATIC管理中心上报异常事件;清洗设备将直接丢弃超出阈值的DNS请求报文。
DNS reply限速
针对DNS Reply Flood防御时,将源IP地址的DNS回应报文的流量限制在“限速阈值”范围内。当DNS回应报文的流量超出阈值时,检测设备将向ATIC管理中心上报异常事件;清洗设备将直接丢弃超出阈值的DNS回应报文。
防御
缓存服务器特有配置项
参数说明请参见表1。
表1 配置缓存服务器特有配置项 参数 说明 取值建议 DNS Request Flood防御 防御模式
清洗设备对DNS Request Flood攻击的防御模式。 TCP认证:采用源认证方式进行防御。在源认证过程中清洗设备会触发客户端以TCP报文发送DNS请求,在一定程度上会消耗DNS缓存服务器的TCP连接资源。
被动:针对同一个源的请求,首次请求丢弃,触发客户端重发请求,对后续请求进行认证,如果为重发的请求则认证通过。
包速率阈值
当DNS Request报文的速率大于“包速率阈值”时,向ATIC管理中心上报异常事件,并启动防御。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
首包丢弃时间间隔
支持配置首包丢弃时间间隔的上限和下限,如果时间间隔低于设定的下限,或者高于设定的上限,则认为是首包,将其丢弃;如果时间间隔落在配置的上限和下限之间,则认为是后续包,将其放行。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
授权服务器特有配置项
参数说明请参见表2。
表2 配置授权服务器特有配置项 参数 说明 取值建议 DNS Request Flood防御 防御模式
清洗设备对DNS Request Flood攻击的防御模式。 被动:针对同一个源的请求,首次请求丢弃,触发客户端重发请求,对后续请求进行认证,如果为重发的请求则认证通过。
CNAME:采用DNS重定向的方式进行防御,防御时客户端响应设备发出的DNS重定向报文后重新发起DNS请求,客户端需要可以响应DNS重定向报文。
包速率阈值
当DNS Request报文的速率大于“包速率阈值”时,向ATIC管理中心上报异常事件,并启动防御。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
首包丢弃时间间隔
支持配置首包丢弃时间间隔的上限和下限,如果时间间隔低于设定的下限,或者高于设定的上限,则认为是首包,将其丢弃;如果时间间隔落在配置的上限和下限之间,则认为是后续包,将其放行。
建议通过基线学习进行配置,具体请参见配置基线学习任务。
DNS Reply Flood防御
当DNS Reply报文的速率大于“包速率阈值”时,清洗设备对异常流量进行虚假源防范。
NXDomain请求检测
当一秒钟内未知域名请求的比例超出阈值时,检测设备将向ATIC管理中心上报异常事件。此时,建议配置异常抓包任务,然后从抓包文件中提取指纹,即可提取出具体的未知域名,同时将其添加到“对指定域名请求报文限速”的域名列表中,从而可针对未知域名的请求报文进行限速。
说明: 开启该功能后,需要在上行流量的入接口上执行命令anti-ddos server-flow-statistic enable,开启上行流量的分析功能。
报文合法性检查
启用报文合法性检查后,清洗设备对报文格式进行检查,并将非标准格式的DNS报文直接丢弃。
DNS请求报文长度限制
启用DNS请求报文长度限制后,将DNS请求报文的长度限制在“最大报文长度”范围内。当DNS请求报文的长度超出阈值时,检测设备将向ATIC管理中心上报异常事件;清洗设备将直接丢弃超出长度的DNS请求报文。
DNS回应报文长度限制
启用DNS回应报文长度限制后,将DNS回应报文的长度限制在“最大报文长度”范围内。当DNS回应报文的长度超出阈值时,检测设备将向ATIC管理中心上报异常事件;清洗设备将直接丢弃超出长度的DNS回应报文。