Nonesense名称攻击是SYS管理员的严重关注

仿佛数据中心和服务器管理员没有足够担心何时涉及到其安装的安全性时，另一个严重的问题已经浮出水面。它是一种被称为“胡说八道名称”攻击的DDOS攻击，而且大多数服务器都存在风险，因为它是目标服务器。

这个怎么运作

废话名称攻击的明显目标是通过使用递归名称服务器的请求来实现DNS区域的权威名称服务器。该过程以这种方式工作：

机器人（或机器人网络）在目标区域中创建大量的无意义域来查询。例如，如果攻击是针对domain.zone启动的，它将生成abcde.domain.zone，fghij.domain.zone，klmno.domain.zone等，然后向递归名称服务器发送所有它们的查询。
递归名称服务器就是它们的作业，将每个查询发送到Domain.zone的权威名称服务器，然后将其自然返回nx域响应（意味着被查询的名称不存在）到递归服务器。
如果查询保持足够快，最终权威的名称服务器将停止回答它们。这反过来又堵塞了提出请求的递归名称服务器，并且它们耗尽查询插槽。此时，递归服务器将简单地拒绝所有新的查询，甚至是合法的查询。实际上，服务器完全从解决客户端请求中停止。

即使目标是点击权威名称服务器，也涉及的所有递归名称服务器也是受害者。

处理这一新威胁的第一步是意识到要寻找的东西。当递归名称服务器开始发送消息时“不再递归客户端;配额达到“到Syslog，您应该立即怀疑缺乏免费递归查询插槽是由于无意义的名称。这些syslog消息将包含制作查询的IP地址，因此如果它们看起来可疑，则可以使用访问控制列表快速排除它们。

如果您不确定IPS，事情会变得更加复杂。最好的方法是使用绑定中的RPZ（响应策略区域）函数，以告诉名称服务器不发送涉及受影响区域的任何查询。您将设置一个如下所示的规则：

* .domain.zone.the.rpz.zone在CNAME中。

然后将QName-Wait-Recurse选项设置为“否”。之后，任何查询Domain.zone中域的人都会自动从递归服务器接收nx域响应，并且权威名称服务器根本永远不会参与其中。

对于不运行绑定的递归名称服务器（或未更新为绑定9.1），最好的选项是创建一个空的“虚拟”区域来替换真实域.Zone。将其标记为区域的权威名称服务器，然后任何查询将获得NXDOMAIN响应。

当然，这些都是临时变化;攻击结束后，您需要将其恢复为何种才能恢复的方式设置。

在不久的将来，互联网系统的联盟计划为绑定名称服务器配置发布两个新选项，这将自动限制如废话名称攻击所创建的查询。在此之前，上述修复应该限制您的名称服务器可能面临的废话。