6、网络安全威胁：攻防的无尽较量

网络安全威胁：攻防的无尽较量

1. DNS 攻击与防御的博弈

DNS 由于其广泛使用和易于获取，常被攻击者用于 VDDoS 攻击。攻击者通过 IP 地址欺骗伪装成受害者，发送如区域传输等较小请求，从众多开放递归 DNS 服务器生成大量 DNS 响应，用 UDP DNS 流量淹没受害者。

就像 20 世纪 90 年代全球呼吁电子邮件管理员关闭垃圾邮件开放邮件中继一样，反射式 DDoS 攻击的广泛使用和影响促使全球 DNS 管理员采取行动，识别并修复配置错误的可访问互联网的 DNS 服务器。管理员加强配置、禁用递归并过滤对服务的访问。但攻击者会不断改变策略，当你应对最新攻击时，他们已在策划下一次攻击。

1.1 网络防御的进展

许多组织已将网络防御置于更高优先级，行业在阻止攻击方面也做得越来越好。我们部署了网络监控，如入侵检测、NetFlow、DNS 查询日志，可识别攻击者的主机名和 IP 地址，还能通过 BGP 黑洞、响应策略区域（RPZ）、访问控制列表（ACL）和软件定义网络（SDN）轻松阻止 IP 和主机名。然而，装备精良且消息灵通的攻击者会维持有弹性的基础设施，使服务在被阻止的情况下仍能在线。

1.2 攻击者的逃避策略

1.2.1 快速流量 DNS（Fast Flux DNS）

攻击者为逃避缓解措施，采用“快速流量 DNS”方法。该方法将单个主机名与多个唯一 IP 地址关联，每个 DNS 记录使用短生存时间（TTL），以便频繁轮换攻击者 IP 地址。这些 IP 地址通常是被攻击者控制的受感染主机，用于代理命令和控制（C2）流量到实际恶意基础设施，以确保更高的弹性。若能按 DNS 名称阻止