与 DNS 相关的攻击手段

DNS 放大攻击

通常我们在访问一个域名的时候首先需要先将域名解析成 IP 地址，假设在一次 DNS 查询的过程中终端机器发送 10 字节的查询数据，DNS 可能就会返回 500 字节的数据，发送和接收之间的数据差异是 50 倍。

放大攻击就是利用了上述过程，攻击者将 DNS 查询的请求的请求地址改成目标地址，然后不断的发送 DNS 查询请求，那么就会产生 50 倍的流量攻击效果，从而达到对目标机器的带宽资源占用。

中间人攻击

攻击原理：在消息发出方和接收方之间拦截双方通信。

它是通过劫持掉了客户端到服务端之间的某个节点（代理、路由器、DNS服务等），来给你访问的页面或服务注入恶意的代码，此时不论你在页面上设计了多么精巧严密的加密措施，都不会有保护作用。而攻击者只需地劫持路由器，或在局域网内其他机器释放 ARP 病毒便有可能做到这一点。

用日常生活中的写信来类比的话：你给朋友写了一封信，邮递员可以把每一份你寄出去的信都拆开看，甚至把信的内容改掉，然后重新封起来，再寄出去给你的朋友。朋友收到信之后给你回信，邮递员又可以拆开看，看完随便改，改完封好再送到你手上。你全程都不知道自己寄出去的信和收到的信都经过邮递员这个“中间人”转手和处理——换句话说，对于你和你朋友来讲，邮递员这个“中间人”角色是不可见的。

防御手段：数字证书、安全传输层TSL

DNS 域名劫持 / DNS 欺骗

修改 DNS 的源 IP 以将域名重定向到不同的 IP。

DNS 的分级查询意味着每一级都有可能受到「中间人攻击」的威胁，产生被劫持的风险。要攻陷位于递归链条顶层的（譬如根域名服务器，顶级域名服务器）服务器和链路是非常困难的，它们都有很专业的安全防护措施。但很多位于*本地域名服务器递归链底层或者来自本地运营商的「本地域名服务器」的安全防护则相对松懈，甚至不少地区的运营商自己就会主动进行劫持，专门返回一个错的 IP，通过在这个 IP 上代理用户请求，以便给特定类型的资源（主要是 HTML）注入广告，以此牟利。

IP 欺骗

在 DNS 域名劫持之后，攻击者将执行多个 IP 地址欺骗，以帮助混淆网络中的攻击源。这通常一个随机化的过程，在这个过程中，IP 地址随机变化，这使得攻击源难以检测和追踪。这种网络级攻击使得用户无法检测，同时也难倒了许多服务器端专家。