作为域名解析的专用工具，DNS服务器是非常关键的网络基础设施，因此即使身陷攻击也不得不为查询提供持续响应。如果外部 DNS 服务器不可用，则整个网络都会脱离Internet。根据Forrester Research测算，网络中断 24 小时的平均经济损失高达 2700 万美元。网站宕机 4 小时的预计成本大约为 210 万美元。此类服务中断的受害者不仅损失收入，丢失客户，同时还会失去品牌价值。

自2012年第一季度以来，面向DNS基础架构的攻击数量增长了200%。是什么导致了这一切?这是因为DNS从其本质上而言很容易被利用。

大多数企业的防火墙都配置成通过53端口提供DNS服务，这给攻击者提供了避开现有防御系统的捷径。

由于DNS查询是非对称的，它们可以产生比查询大很多倍的响应，这意味着DNS系统本身可能被用于放大攻击。黑客可以发送一个数据包，引起一阵放大好几倍的数据响应，有效阻止您业务的运作。

由于DNS协议是无状态的，攻击者可以轻松地隐藏其身份。

大型IT组织和服务提供商别无选择，只能弥补这些漏洞，因为在互联网时代，DNS服务对于现代企业的几乎所有重要职能部门都是不可或缺的。若没有正常运行的DNS，智能手机无法使用，企业无法运营在线业务，团队无法有效沟通，工作效率下滑，客户满意度下降，收入减少，企业声誉也岌岌可危。

当今威胁趋势

为了强调 DNS 攻击为企业带来危害的严重性，我们在下面着重说明几种最常见的威胁。

直接 DNS 放大攻击，通过发送特别定制以生成大量响应的 DNS 查询，拥塞 DNS 服务器出站带宽。

反射攻击，使用 Internet 中的第三方 DNS 服务器(一般为开放式递归域名服务器)，通过发送查询到该递归服务器(该服务器会处理来自任何 IP 地址的查询)来传播 DoS 或 DDoS 攻击。攻击者将受害者的 IP 地址作为查询中的源 IP，这样，域名服务器会将所有响应发送到受害者的 IP 地址——很有可能使受害者的服务器宕机。

TCP、UDP 和 ICMP 洪水，利用传输控制协议 (TCP)、用户数据报协议 (UDP) 以及 Internet 控制消息协议 (ICMP)，通过大量数据包来消耗网络带宽和资源。

DNS 缓存中毒，将 Internet 域的虚假地址记录插入 DNS 查询。如果 DNS 服务器接受该记录，则响应后续请求时，服务器的地址都将被此攻击者控制，传入的 Web 请求和电子邮件都会传输到攻击者的地址。

协议异常，将格式错误的 DNS 数据包发送到目标服务器，导致服务器线程出现无限循环，从而致使该服务器崩溃或停止响应。

侦查探测器，不是攻击。它们只是试图在发生大规模DDoS攻击或其他类型攻击之前获取有关网络环境的信息。

DNS 隧道，是指通过 DNS 端口 53 挖掘另一个协议隧道(防火墙一般允许使用该端口来传输非 DNS 流量)。这些攻击用于数据渗漏。