網站被劫持攻擊以及流量攻擊如何解決

目前越來越多的伺服器被DDOS流量攻擊，尤其近幾年的DNS流量攻擊呈現快速增長的趨勢，DNS受眾較廣，存在漏洞，容易遭受到攻擊者的利用，關於DNS流量攻擊的詳情，我們來大體的分析一下，透過我們SINE安全這幾年的安全監控大資料來看清DNS的攻擊。一種是DNS路由劫持攻擊，一種是DNS流量放大攻擊。

DNS快取攻擊以及劫持路由分析

伺服器的攻擊者會劫持路由進行DNS快取攻擊，當傳送一個請求包或者是開啟一個網站的時候就會去找就近的路由，簡單來說就是網站劫持，打個比方當一個訪問者去請求SINE安全官網的時候，中專路由如果被劫持，那麼就會把一個不是SINE安全的IP，返回給你，這個IP可以是攻擊者惡意構造的，當你不小心訪問了，並且輸入了使用者名稱以及密碼，這些資訊都會被攻擊者所掌握。也就是密碼資訊被劫持了。

那麼如何來檢測這種DNS路由劫持的攻擊呢?

在正常的一些情況下，我們的DNS伺服器與我們網站域名的解析IP，都是保持同步的，都會一致，當你訪問一個網站或者其他域名的時候，發現開啟的都是一個頁面或者是解析到了一個IP上，基本上就可以斷定DNS被劫持了，可以使用域名解析工具來檢查問題。

DNS伺服器也會有漏洞，一般是在區域傳送中發生，目前很多DNS的伺服器都被預設的配置成了當有訪問請求的時候，會自動返回一個域名資料庫的所有資訊，造成了可以任意的執行DNS域傳送的解析操作，攻擊使用的大多數是TCP協議進行傳輸攻擊。

DNS流量攻擊英文名也稱為DNS Amplification Attack，使用的是回覆域名請求資料包加大的方式將請求的流量，進行放大化，明明10G的資料包會放大成100G，資料量越來越大，攻擊者的IP也都是偽造的，並反向給受害IP，導致造成DNS流量放大攻擊，檢視伺服器的CPU是否佔用到百分之80到99之間，看回復的資料包裡的recursion資料是否為1，以及ANT引數的合法值，資料包的大小也可以看出攻擊的特徵，返回的資料包大於請求資料包。

DNS流量攻擊都是使用的攻擊者頻寬與網站伺服器的頻寬的差異進行的，當攻擊者頻寬以及攻擊數量加大時，就會對伺服器造成影響，傳送請求查詢資料包，正常傳送1個請求，就會放大成10個請求，攻擊者的數量越多，流量越大，受攻擊的網站以及伺服器就承載不了這麼大的頻寬了。

DNS流量攻擊如何防護？

網站以及伺服器的運營者，使用的頻寬都是有限的，一般都是1-50M，之間或者有些到100M，但是當受到大流量攻擊的時候，根本承受不住，伺服器繼而癱瘓，一般防護的安全策略使用伺服器的硬體防火牆去抗流量攻擊，再一個可以使用CDN，隱藏伺服器的真實IP，讓CDN去分擔流量攻擊，如果對流量攻擊防護不是太懂的話可以找專業的網站安全公司來處理解決。