業(yè)內(nèi)也將反射DDoS稱作R-DDoS、DRDoS或“分布式反射拒絕服務(wù)攻擊”。去年8月份的時候，我們曾深入解析過諸多借助BitTorrent相關(guān)協(xié)議的“杠桿傳播”，但其背后的原理其實很簡單。

一名攻擊者將一個“損壞的網(wǎng)絡(luò)包”發(fā)送到服務(wù)器，然而之后它會被發(fā)送回另一個用戶（即攻擊的受害者）。該網(wǎng)絡(luò)包會濫用一個特定的協(xié)議，借助于各種缺陷，其可放大自身的數(shù)量，有時×2、有時×10（甚至還有將攻擊增強200倍的）。

根據(jù)Akamai的報告，自2015年11月起，該公司已經(jīng)遭遇并緩解了超過400起DDoS反射攻擊。攻擊者主要使用了.gov的域名，這歸咎于美國法規(guī)必須支持DNSSEC。

盡管DNSSEC可以防止域名被劫持，但它卻無法阻擋反射DDoS攻擊，而攻擊者們顯然都看到了這個薄弱點，更別提它是標(biāo)準(zhǔn)DNSSEC響應(yīng)的很大一塊了（除了域名和許多認(rèn)證類相關(guān)數(shù)據(jù)之外）。

Akamai SIRT（安全情報響應(yīng)小組）表示：攻擊者沒有做什么特殊的事情，他們用的還是同樣的DDoS工具包，因為DNS解析器仍然開放著。問題的關(guān)鍵是他們請求了DNSSEC的域名（通常為a.gov之類，修改為DNS請求的受害者IP，而不是他們自己的）。

開放的DNS解析器會將它翻譯成一個IP，通過額外的DNSSEC請求數(shù)據(jù)來阻塞響應(yīng)，然后將它發(fā)送回受害者IP。

標(biāo)準(zhǔn)DNS響應(yīng)大小為512字節(jié)（bytes），而附帶各種配置的DNSSEC甚至能夠達(dá)到4096字節(jié)。這意味著DNSSEC反射DDoS攻擊的放大系數(shù)，有時甚至能達(dá)到8×。

鑒于線上有3200萬開放DNS解析器（其中有2800萬被認(rèn)為是受漏洞影響的），攻擊者很容易就找到利用它們的方法。

Akamai的報告稱，DNSSEC反射DDoS攻擊的有記錄峰值數(shù)據(jù)為123.5Gbps，其中超半數(shù)都是針對游戲行業(yè)的（其次是金融領(lǐng)域）。

好消息是，只需對ALCs進(jìn)行一些優(yōu)化，開放DNS解析器能夠防止服務(wù)被反射DDoS攻擊所濫用。