最近觀察到一種 DNS 的攻擊行為, 似乎是 Botnet 的攻擊模式
其共同模式為:
1. TXT query
2. response result > 2K (也就是需要 2 個以上的封包才能傳完), 例如 host -t txt gd21.net
3. 許多不同的 IP query 同一個 domain 的 TXT
4. query 頻率很高
5. 攻擊非持續進行, 從幾分鐘到幾小時都有
這樣的行為會造成 DNS 忙著回應這些 abuse query, 量大的話很恐怖,
輕則流量大增, 重則癱瘓 DNS 的網路, 影響服務.
造成正常的用戶查詢困難或甚至查不到 Domain,
算是一種 DDoS 攻擊.
Leave a comment