, er is een nieuwe ddos - aanval namen de server, die kan worden genoemd de naam "aanvallen" onzin.Het kan de autoriteit de naam van de server als terugkerende en woede, en sommige van onze klanten in de Infoblox slachtoffer... Maar het is niet altijd duidelijk wat hun doel is. De naam "," onzin, ddos - aanval werkt zo:,, -   aanvaller te kiezen dat aanvallen, bijvoorbeeld, foo.,., -   botnets aanvaller controle willekeurig domeinnaam die regio 's eerste onzin, etikettering, zoals asdfghjk.foo.example,, zxcvbnm. Foo.,.,, -   robot die domeinnaam terugkerende DNS, - veel vragen,.   recursief server, op zijn beurt, een vraag, foo. Bijvoorbeeld, de server van de autoriteit -   domeinnaam.,, de Autoriteit zendt het antwoord dat de serverIk denkt dat er een probleem is met de domeinnaam bestaat niet (in de DNS - zaken, een zogenaamde NXDOMAIN respons).,, -   terugkerende DNS -, om de oorspronkelijke vraag en duwde de domeinnaam bestaat niet.,, -   schuim, spoelen en herhalen, als de aanvaller kan die vraag. Snel genoeg, De totale vraag snelheid haalt, foo.example, DNS server.Het plezier begint echt:,, -   robot sturen de domeinnaam blijven vragen die terugkerende DNS.,, -   nu gezaghebbende server reageert niet, zoek de server heeft meer tijd nodig om elke vraag.In het geval van bindende DNS server kunnen wachten 30 seconden om tientallen (antwoord op vraag), voor het gebruik van  ., - terugkerende vraag - terugkerende DNS, uiteindelijk, tegen extra vragen... Sommige van hen, wanneer dit gebeurt, legaal. De naam van een bindende server een bericht sturen als de volgende, Syslog:,,, op 21 januari 14:44:00, eiwitten genaamd [4242]: de klant 192.168.0.1і: niet langer terugkerende klanten: de quota bereikt, op dit punt, de server zou weigeren extra vragen, te weigeren, klanten. En, wie is het doelwit?,,, in de meeste gevallen, de organisatie van de server van de autoriteit (in dit geval, die, bijvoorbeeld, foo.) lijkt het doelwit was.Bijvoorbeeld, we zien een domeinnaam in Chinese gokken website te gebruiken.Misschien probeert iemand dit Huis op enkele moeilijke wraak?)Maar als de server, terugkerende aanvallen van bijkomende schade.Ze eigenlijk het doel is?We hebben gezien wat bewijs.Sommige van onze klanten van de regio 's aanval is verdwenen na een dag of twee aanvallen, dat kunnen ze niet actief in gebruik (in feite is misschien een "bij de registratie van domeinnamen" - programma).De aanvaller kan de registratie van deze regio 's niet opzettelijk traag of op de server, zodat de domeinnamen in de band zal zo lang mogelijk, natuurlijk. En achter de aanvallen, ongeacht of de doelstellingen, mechanismen is nog steeds dezelfde.,,,,, in het algemeen, verlicht, dan zie je een saaie naam vallen als je begint te lopen van de terugkerende DNS server terugkerende vraag door middel van slots, Syslog informatie, bewijzen dat.Deze informatie wordt verstrekt over queriers het IP - adres van de toegang werd geweigerd door de gleuf, in de eerste plaats aan. En vroeg zich af of je het IP - adres is in het bericht van de server adres wordt.Als je niet kan alleen door een controle op de toegang tot de lijst te beperken tot de vraag toestemming queriers zet je de naam van de server.Als een kwaadaardige vraag uit het adres, je moet heel duidelijk het gebruik van een ander mechanisme, een mogelijkheid is gebruik te maken van bindende heel gemakkelijk op de strategie van regionale functie tijdelijk op te voorkomen dat je naam in de server zendt de verzoeken in de problemen.Om te voorkomen dat je de server kijken, foo.example een zone van regels, zoals de domeinnaam kan eenvoudig:,, * foo. Voorbeelden van. Je. Zone. Gebied. In het               cname                                    ,  . Je moet ook een optie is, geen herhaling van,,, (meer informatie op deze opties hier klikken).Dit zal leiden tot de server van de domeinnaam en je naam niet bestaat, foo.example vraag niet vragen, foo.example, DNS, als je terugkerende domeinnaam server niet binden 9.10 (bindende steun echter deze mogelijkheid van de eerste versie), die in alle bindende of niet, je kan nog steeds tijdelijk een leeg foo.example, om te voorkomen dat, met je naam te vinden van de server die gegevens voor wangedrag.De regionale gegevens minimaal zal zijn,   @  :,             in               SOA        ,           wortel         2015010700 1h van 15 miljoen ecu,                           in 30 dagen,           ns            ,,,   zet je terugkerende server als de regionale autoriteit, oefenen voor de lezer, het zal alleen maar een antwoord te geven op de vraag, foo.example, domeinnamen (met uitzondering van de domeinnaam en er geen vraag, foo. Bijvoorbeeld, is een SOA 's record of, natuurlijk, alleen). Weet je nog in de regionale verdeling van de druk van de regels of het tijdelijk is.Na de aanval, je moet het schrappen van hen in staat te stellen om op het gebied van naam, op het internet. De goede mensen van verenigingen, die de ontwikkeling van de bindende DNS, zijn ook op het gebied van nieuwe mechanismen voor het oplossen van dit probleem en wat nog belangrijker is, door de invoering van twee nieuwe opties: elke server, krijgt elke. In elke server,.,,, in parallelle vraag van de terugkerende - domeinnaam kan er één autoriteit server goede kwantitatieve beperkingen.Beperkingen opgelegd in feite dynamisch is, hangt af van de vraag wanneer de ervaring, de server time - out naar beneden.Van elke regio, waar de vraag op, naast de terugkerende - domeinnaam kan een uitstekende één regio, kwantitatieve beperking, deze twee kenmerken. Tussen de administraties moeten binden, kan de vermindering van de domeinnaam zal de kans van slachtoffers van onbedoelde of houdt niet van die onzin, de naam van de ddos - aanval.