完全披露，我在一家开发 DDoS 缓解和 Web 应用程序防火墙服务的公司工作

DNS 放大是一种分布式拒绝服务 (DDoS) 攻击，攻击者利用域名系统 (DNS) 服务器中的漏洞将最初的小查询变成更大的有效负载，用于关闭受害者的服务器。

DNS 放大是一种反射攻击，它操纵可公开访问的域名系统，使它们用大量 UDP 数据包淹没目标。使用各种放大技术，犯罪者可以“膨胀”这些 UDP 数据包的大小，使攻击如此强大，甚至可以摧毁最强大的互联网基础设施。

DNS放大与其他放大攻击一样，是一种反射攻击。在这种情况下，反射是通过从 DNS 解析器引出对欺骗 IP 地址的响应来实现的。

在 DNS 放大攻击期间，犯罪者向开放的 DNS 解析器发送带有伪造 IP 地址（受害者的）的 DNS 查询，提示它使用 DNS 响应回复该地址。由于发送了大量虚假查询，并且多个 DNS 解析器同时回复，受害者的网络很容易被大量的 DNS 响应所淹没。

为了放大 DNS 攻击，可以使用 EDNS0 DNS 协议扩展来发送每个 DNS 请求，这允许大型 DNS 消息，或者使用 DNS 安全扩展 (DNSSEC) 的加密功能来增加消息大小。也可以使用“ANY”类型的欺骗查询，它在单个请求中返回有关 DNS 区域的所有已知信息。

通过这些和其他方法，大约 60 个字节的 DNS 请求消息可以配置为向目标服务器引出超过 4000 个字节的响应消息，从而产生 70:1 的放大系数。这显着增加了目标服务器接收的流量，并加快了服务器资源耗尽的速度。

此外，DNS 放大攻击通常通过一个或多个僵尸网络中继 DNS 请求，从而大大增加了指向目标服务器的流量，并使追踪攻击者的身份变得更加困难。

我公司提供各种解决方案来保护自己免受 DNS 攻击。请阅读有关如何减轻此类攻击的更多信息：https ://www.incapsula.com/ddos/attack-glossary/dns-amplification.html