如今看来服务器被DDOS流量攻击，特别近几年出现DNS流量攻击的现象越来越多，DNS受众较广，存在漏洞，容易遭受到攻击者的利用，关于DNS流量攻击的详情，我们来大体的分析一下，通过我们SINE安全这几年的安全监控大数据来看清DNS的攻击。一种是DNS路由劫持攻击，一种是DNS流量放大攻击。

　　对于劫持性的问题该如何检查呢？使用IIS7的网站检测功能，可以检测网站是否被劫持、域名是否被墙、DNS污染检测、网站打开速度检测、网站是否被黑、被入侵、被改标题、被挂黑等信息，实时的查询网站的安全情况，可以让问题最早的被发现。

　　DNS缓存攻击以及劫持路由分析

　　服务器的攻击者会劫持路由进行DNS缓存攻击，当发送一个请求包或者是打开一个网站的时候就会去找就近的路由，简单来说就是网站劫持，打个比方当一个访问者去请求SINE安全官网的时候，中专路由如果被劫持，那么就会把一个不是SINE安全的IP，返回给你，这个IP可以是攻击者恶意构造的，当你不小心访问了，并且输入了用户名以及密码，这些信息都会被攻击者所掌握。也就是密码信息被劫持了。

　　那么如何来检测这种DNS路由劫持的攻击呢?

　　在正常的一些情况下，我们的DNS服务器与我们网站域名的解析IP，都是保持同步的，都会一致，当你访问一个网站或者其他域名的时候，发现打开的都是一个页面或者是解析到了一个IP上，基本上就可以断定DNS被劫持了，可以使用域名解析工具来检查问题。

　　DNS服务器也会有漏洞，一般是在区域传送中发生，目前很多DNS的服务器都被默认的配置成了当有访问请求的时候，会自动返回一个域名数据库的所有信息，造成了可以任意的执行DNS域传送的解析操作，攻击使用的大多数是TCP协议进行传输攻击。

　　DNS流量攻击英文名也称为DNS Amplification Attack，使用的是回复域名请求数据包加大的方式将请求的流量，进行放大化，明明10G的数据包会放大成100G，数据量越来越大，攻击者的IP也都是伪造的，并反向给受害IP，导致造成DNS流量放大攻击，查看服务器的CPU是否占用到百分之80到99之间，看回复的数据包里的recursion数据是否为1，以及ANT参数的合法值，数据包的大小也可以看出攻击的特征，返回的数据包大于请求数据包。

　　DNS流量攻击都是使用的攻击者带宽与网站服务器的带宽的差异进行的，当攻击者带宽以及攻击数量加大时，就会对服务器造成影响，发送请求查询数据包，正常发送1个请求，就会放大成10个请求，攻击者的数量越多，流量越大，受攻击的网站以及服务器就承载不了这么大的带宽了。