DNS防御策略

针对使用UDP传输的DNS服务的防御策略包括源限流和防御。

AntiDDoS对知名协议的识别是基于端口号判定的，对于53端口的非DNS协议，可能会被误识别为DNS业务而命中相应策略丢弃，请不要将知名端口号用于其他业务，以免命中防御策略，而影响正常业务。

• 源限速

  • DNS Query限速

    针对DNS Query Flood防御时，将源IP地址的DNS请求报文的流量限制在“限速阈值”范围内。当DNS请求报文的流量超出阈值时，检测设备将向ATIC管理中心上报异常事件；清洗设备将直接丢弃超出阈值的DNS请求报文。

  • DNS Reply限速

    针对DNS Reply Flood防御时，将源IP地址的DNS回应报文的流量限制在“限速阈值”范围内。当DNS回应报文的流量超出阈值时，检测设备将向ATIC管理中心上报异常事件；清洗设备将直接丢弃超出阈值的DNS回应报文。

• 防御

  • 缓存服务器特有配置项

    参数说明请参见表1。

    表1 配置缓存服务器特有配置项

    参数		说明	取值建议
    DNS Query Flood防御	防御模式	清洗设备对DNS Query Flood攻击的防御模式。	TCP认证：采用源认证方式进行防御。在源认证过程中清洗设备会触发客户端以TCP报文发送DNS请求，在一定程度上会消耗DNS缓存服务器的TCP连接资源。 被动：针对同一个源的请求，首次请求丢弃，触发客户端重发请求，对后续请求进行认证，如果为重发的请求则认证通过。
    	包速率阈值	当DNS Query报文的速率大于“包速率阈值”时，向ATIC管理中心上报异常事件，并启动防御。	建议通过基线学习进行配置，具体请参见配置基线学习任务。
    	首包丢弃时间间隔	支持配置首包丢弃时间间隔的上限和下限，如果时间间隔低于设定的下限，或者高于设定的上限，则认为是首包，将其丢弃；如果时间间隔落在配置的上限和下限之间，则认为是后续包，将其放行。	建议通过基线学习进行配置，具体请参见配置基线学习任务。

  • 授权服务器特有配置项

    参数说明请参见表2。

    表2 配置授权服务器特有配置项

    参数		说明	取值建议
    DNS Query Flood防御	防御模式	清洗设备对DNS Query Flood攻击的防御模式。	被动：针对同一个源的请求，首次请求丢弃，触发客户端重发请求，对后续请求进行认证，如果为重发的请求则认证通过。 CNAME：采用DNS重定向的方式进行防御，防御时客户端响应设备发出的DNS重定向报文后重新发起DNS请求，客户端需要可以响应DNS重定向报文。
    	包速率阈值	当DNS Query报文的速率大于“包速率阈值”时，向ATIC管理中心上报异常事件，并启动防御。	建议通过基线学习进行配置，具体请参见配置基线学习任务。
    	首包丢弃时间间隔	支持配置首包丢弃时间间隔的上限和下限，如果时间间隔低于设定的下限，或者高于设定的上限，则认为是首包，将其丢弃；如果时间间隔落在配置的上限和下限之间，则认为是后续包，将其放行。	建议通过基线学习进行配置，具体请参见配置基线学习任务。

  • DNS Reply Flood防御

    当DNS Reply报文的速率大于“包速率阈值”时，清洗设备对异常流量进行虚假源防范。

  • NXDomain请求检测

    当一秒钟内未知域名请求的比例超出阈值时，检测设备将向ATIC管理中心上报异常事件。此时，建议配置异常抓包任务，然后从抓包文件中提取指纹，即可提取出具体的未知域名，同时将其添加到“对指定域名请求报文限速”的域名列表中，从而可针对未知域名的请求报文进行限速。

    

    开启该功能后，需要在上行流量的入接口上执行命令anti-ddos server-flow-statistic enable，开启上行流量的分析功能。

  • 报文合法性检查

    启用报文合法性检查后，清洗设备对报文格式进行检查，并将非标准格式的DNS报文直接丢弃。

  • DNS请求报文长度限制

    启用DNS请求报文长度限制后，将DNS请求报文的长度限制在“最大报文长度”范围内。当DNS请求报文的长度超出阈值时，检测设备将向ATIC管理中心上报异常事件；清洗设备将直接丢弃超出长度的DNS请求报文。

  • DNS回应报文长度限制

    启用DNS回应报文长度限制后，将DNS回应报文的长度限制在“最大报文长度”范围内。当DNS回应报文的长度超出阈值时，检测设备将向ATIC管理中心上报异常事件；清洗设备将直接丢弃超出长度的DNS回应报文。