什么是伪随机子域攻击？

伪随机子域 (PRSD) 攻击也称为随机子域攻击或水刑攻击，是一种 分布式拒绝服务 (DDoS)攻击。PRSD 攻击以特定的网域为目标，攻击者会发送大量看似合法的恶意 DNS 请求来轰炸域名系统 (DNS) 名称服务器。这会导致递归 DNS 服务器和权威 DNS 名称服务器及其基础设施平台负荷过载，造成服务器响应速度变慢或崩溃，无法响应合法流量，并导致网域不可用。PRSD 攻击得逞率极高，因为攻击者不是简单用非法数据包轰炸 DNS 服务器，而是向子域名发送看似合法但更难识别为恶意的 DNS 请求。

子域名是主域名的前缀，在网站结构中发挥着至关重要的作用。伪随机子域攻击利用这种结构来创建不可预测的子域名，以规避检测。

域名系统 (DNS) 本质上是一种索引，可将网络域名（例如 example.com）转换为 IP 地址 （例如 2001:db8:3e8:2a3::b63）。互联网协议 (IP) 地址是计算机和设备用来在网络（例如互联网）与其他计算机通信的地址。对于人类用户来说，IP 地址很难记住，它代表服务的位置而非特征。而 DNS 能够让用户使用易于辨认的域名来识别服务。DNS 负责快速返回用户或计算机想要连接的每个域的正确 IP 地址。

DNS 包括两种类型的服务器：权威名称服务器和递归名称服务器，帮助解析设备和应用程序发出的 IP 地址请求。权威 DNS 服务器保存每个域的官方 DNS 记录。递归 DNS 解析器离用户更近，帮助减轻权威服务器的负担，并利用存储在缓存中的可用记录来响应 DNS 请求，使得响应速度更快。

虽然 DNS 过程通常只需要一瞬间，但解析 DNS 请求涉及许多步骤。例如：

• 当用户点击链接、在浏览器中输入网域时，或应用程序需要连接到另一台计算机时，请求端设备通常会发出 DNS 查询，该查询将被发送到递归 DNS 解析器。
• 如果递归服务器的缓存中存储有 DNS 记录，它会立即返回正确的 IP 地址或答案。
• 如果递归服务器的 DNS 缓存中没有可用记录，则服务器会将请求转发至其他名称服务器，直至最终转发至权威 DNS 服务器并返回正确的 IP 地址。
• 然后递归服务器将正确的 IP 地址返回到用户设备，使设备成功加载网页或创建连接。

为了对目标域（例如 example.com）实施伪随机子域攻击，黑客会使用域生成算法或自动化工具，基于随机字符串（例如 asdf）生成大量不存在的子域名（也就是在 DNS 中没有答案的域名）。然后攻击者利用 僵尸网络（攻击者控制下的受恶意软件感染的计算机网络）发起对这些不存在的子域的同步 DNS 查询。收到请求的递归 DNS 服务器无法解析这些请求，因为服务器缓存中未存储这些不存在的子域名。最终这些请求将被转发到权威 DNS 服务器。权威名称服务器会发出 NXDOMAIN 响应，这表示无法找到所请求的域。随着攻击者发出对不存在的子域的无数同步请求，权威服务器的资源被过度消耗，服务器将会崩溃，或者触发速率限制机制，导致性能降低。同时，这种恶意请求还会快速消耗掉递归 DNS 解析器及其周围基础设施中等待权威名称服务器响应的所有可用资源。最终结果是合法用户的请求无法得到正确响应。

伪随机子域攻击是一种更难抵御的 DNS 攻击，因为攻击者所使用的数据包是格式正确的 DNS 请求。此外，这种 DNS DDoS 攻击中的查询通常是从合法 ISP 客户端发出的，因此很难通过设置来源过滤来阻止恶意 DNS 流量。要想抵御 PRSD 攻击或尽量减轻其影响，网络安全团队可以采用以下几种最佳实践。

• 提升查询能力。为现有 DNS 服务器配置更多内存并添加 DNS 服务器，使解析器能够承受更高的查询负载，防止关键系统资源耗尽。
• 使允许的查询数量最大化。调整 DNS 配置，使允许的同步递归查询数量最大化，让 DNS 服务器能够在攻击期间继续响应合法请求。
• 部署模式识别型防御技术。有些安全解决方案利用机器学习来识别攻击流量模式，并自动创建过滤器来阻止攻击或管理流量。
• 选择全球规模的 DNS 平台。全球性 DNS 提供商提供许多入网点并通过算法控制来管理世界各地的 PRSD 流量，能够帮助企业抵御大规模的 DNS DDoS 攻击并减轻攻击的影响。