先决条件 – 域名服务器、DNS 欺骗或 DNS 缓存中毒
域名服务器是互联网的重要组成部分。它被开发为一个将字母名称转换为 IP 地址的系统，允许用户访问网站和交换电子邮件。 DNS 被组织成一个树状基础设施，其中第一级包含最顶层的域，例如.com和.org 。第二级节点包含通用的传统域名。这棵树上的“叶子”节点称为主机。

DNS 的工作方式类似于数百万计算机系统访问的数据库，试图确定哪个地址最有可能解决用户的查询。

在 DNS 攻击中，黑客有时会针对包含域名的服务器。在其他情况下，这些攻击者会尝试确定系统本身的漏洞并利用它们为自己谋利。

攻击类型：

1. 拒绝服务 (DoS) –
   攻击者通过使资源不可用或用流量淹没系统来使计算机对用户无用(无法访问)的一种攻击。
2. 分布式拒绝服务 (DDoS) –
   攻击者控制着大量的计算机(数百或数千台)以传播恶意软件并用不必要的超载流量淹没受害者的计算机。最终，由于无法利用处理密集处理所需的能力，系统将过载并崩溃。
3. DNS 欺骗(也称为 DNS 缓存中毒)——
   攻击者会将流量从真正的 DNS 服务器中转移出去，并将它们重定向到用户不知道的“盗版”服务器。这可能会导致用户个人数据的损坏/失窃。
4. 快速通量 –
   攻击者通常会在执行攻击时欺骗他的 IP 地址。 Fast Flux 是一种不断更改基于位置的数据以隐藏攻击的确切位置的技术。这将掩盖攻击者的真实位置，为他提供利用攻击所需的时间。通量可以是单一的或双重的或任何其他变体。单个通量更改 Web 服务器的地址，而双通量更改 Web 服务器的地址和 DNS 服务的名称。
5. 反射攻击——
   攻击者将发送数千个查询，同时欺骗自己的 IP 地址并使用受害者的源地址。当这些查询得到回答时，它们都将被重定向到受害者本人。
6. 反射放大 DoS –
   当答案的大小远大于查询本身时，会触发通量，从而导致放大效应。这通常使用与反射攻击相同的方法，但这种攻击会进一步压倒用户系统的基础设施。

针对DNS攻击的措施：

1. 使用数字签名和证书来验证会话以保护私人数据。
2. 定期更新并使用最新的软件版本，例如 BIND。 BIND 是一种为用户解析 DNS 查询的开源软件。它被 Internet 上的大多数 DNS 服务器广泛使用。
3. 安装适当的补丁并定期修复错误的错误。
4. 在其他几台服务器中复制数据，以便如果数据在一台服务器中损坏/丢失，可以从其他服务器恢复。这也可以防止单点故障。
5. 阻止冗余查询以防止欺骗。
6. 限制可能的查询数量。