与其他放大类攻击相同,DNS放大是一种反射攻击。在这种情况下,反射是通过一个DNS解析器诱发一个响应到一个虚假的IP地址上。 在DNS 放大攻击期间,攻击者将一个伪造的IP地址发送到一个开放的DNS解析器中,促使它使用DNS响应回复该地址。无数的伪造查询被发送出去,并且有若干DNS解析器同时回复,受害者的网络很容易被大量的DNS响应所淹没。”放大” 是指诱发一个与其发送的原始包请求不成比例的服务器响应。
防止或缓解DNS放大攻击影响的常用方法包括:加强DNS服务器安全、阻止特定的DNS服务器或所有开放的循环中继服务器及速率限制。 但是,这些方法不能从根本上消除攻击源, 也不能减少域名服务器和开放式递归服务器之间的网络负载和切换负载。Incapsula的DDoS 解决方案充分利用Anycast技术平衡高性能洗涤服务器在全球网络的攻击负载,在这些服务器上对流量进行深度包检测 (DIP),滤除恶意DDoS流量。 此服务能够实现按需超量配置和几乎无限的可扩展性,可以处理甚至最大容量的攻击。 此外,可通过边界网关协议声明(BGP),即时在任何网络基础设施的外围部署Incapsula DDoS防御机制,使 Incapsula 成为所有进入流量的接收者。 一旦部署成功,Incapsula的代理位置可确保DDoS 流量被过滤在客户网络之外,而所有清洁流量则通过一个安全的GRE通道被转发至其最终目的地。