自去年开始，DDOS 攻击已经上升到了一个新的高度，其标志性攻击是针对国际反垃圾邮件联盟和 cloudflare 的大规模 DDOS 攻击，流量一度达到120G，当然后面的 DDOS 远远超过了120G，不过这一次攻击确实是历史性的。

　　我们现在回过头去看这些攻击已经清楚他们的攻击来源是 DNS/NTP 等反射攻击导致的，但是为什么 DNS和NTP 等服务具有如此厉害的能力呢?攻击者是如何做到制造出如此巨大的流量的呢?DNS 这个在我们日常网络使用的时候再平常不过的服务是如何被利用来变成大规模攻击的呢?

　　我们现在先提前给出最终答案，然后再进行解释：

　　1、DNS 使用了简单的 UDP 报文进行客户端和服务端之间的通讯;

　　2、DNS 是纯天然的流量放大器，通过极小的请求返回很大的回应数据包;

　　3、互联网上充斥了大量的开放 DNS 解析器，它们可以接受任何客户端的请求而不会拒绝;

　　4、网络的滥用导致很多地方可以发出伪造源 IP 地址的数据包。

　　这四个方面的问题最终结合到了一起，形成了现在的 DNS 系统的格局，也使 DNS 系统成为了 DDOS 攻击的重要问题来源。一次正常的 DNS 请求可能发出的流量只有64bytes，但是它收到的回应可能远远超过这个数，在某些特定场合下，这个流量被放大的比率可以轻轻松松超过50倍。按照这个 比率计算，如果通过一个僵尸网络来同时发送 DNS 请求的话，那么生成G/s的流量是十分轻松的，如果是使用了 DNSSEC 的话，流量还将更大。

　　现在的问题在于，实质上这些流量和其他流量一样都是看似正常的流量，所以简单的过滤机制对此将不起作用，我们需要寻求更深层次的解决方案来解决这个长期困扰互联网的问题。

　　在这个问题的讨论上，其中一个讲到如果大家在实施网络的时候都按照 BCP38 来实施的话，可以阻止虚假 IP 地址发送 DNS 请求，从而阻止了利用 DNS 进行反射放大的攻击。当然这个话题已经久到比 BCP38 本身还要早，BCP38 作为一个文档已经存在了13年之久，但令人不爽的是这仍然未能改变在过去的13年里层出不穷的源 IP 伪造攻击，所以在未来数个月甚至若干年内我们也不要对此报太大期望。

　　另外一个讨论是说解析器应该实施应答频率限制(response rate limiting，RRL)，默默地将超过阈值的重复请求丢弃掉，这个对于权威 DNS 来说确实相当的有效率，但是对于递归解析器群来说效果就差很多，因为攻击一旦散步到各个递归服务器，那么分摊下去之后能够检测到的频率就可能达不到检测阈 值。尽管如此，权威 DNS 服务器实施 RRL 仍然是很好的选择。

　　另外一个讨论是说，关闭掉这些开放递归查询服务器，open resolver project(http://e.xmfv.com/