问:DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?
答:不,DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击,相比没有DNSSec的情况,具有DNSSec的任何类型查询都会生成更显著的大量回复数据包,实施DNSSec 实际上意味着更易将攻击放大。
问:互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话,Spamhaus是如何看到300 Gbps的流量的?
答:虽然 100Gb/秒是部署在生产网络中的最大单个物理链路速度,但是多个100Gb/秒物理链路结合在一起,就可以形成大容量逻辑链路。
问:如何缓解这类攻击?
答:如果大部分服务提供商在网络边界执行了BCP 38/84,同时还大幅减少互联网上开放的DNS 解析器的数目,那么就可以减小攻击者的能力,从而降低此类较大攻击的风险。
我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表,黑/白名单,灵活僵尸去除,和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而,在应用这些机制时必须谨慎,因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下,这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。
问:其他公司可从此次攻击得到哪些教训?
答:目前的DDoS 威胁很复杂,由大容量攻击和复杂应用层威胁构成。为了有效地解决我们目前看到的攻击,保护服务可用性,企业组织需要分层的 DDoS 防御。企业组织必须具有网络边界解决方案,以积极地处理隐秘、复杂的应用层威胁,还必须利用基于云的服务提供商提供DDoS 保护服务,以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统,从而使其免受DDoS 威胁的影响。