DDoS
##########################################################

`DNS WARS <https://blog.apnic.net/2019/11/04/dns-wars/>`_

`enhancing-cloud-resiliency-with-dns <http://www.arbornetworks.com/docman-component/doc_download/543-enhancing-cloud-resiliency-with-dns>`_

DNS DDoS的问题在于：伪造UDP查询，无身份认证；放大攻击，递归反射。。。


root
========

2016.6 根服务
----------------------------------------------------------

Anycast。。。

分区域部署根服务，限制攻击影响范围

TLD 
==========================================================

2013.08.25 .CN国家顶级域
----------------------------------------------------

带宽，分散部署，重点来源IP区分服务，专用服务区。。。

分布式探测点的时延变化

常见IP到顶级域的访问记录变化　

热点短TTL域名二级权威的访问IP数变化

重点递归，热点域名平均时延变化，重启一次查询时延变化

SLD
========

2016.10 DYN第三方权威服务
----------------------------------------------------

云解析服务提供商往往托管着大量域名，因此针对此类服务的攻击影响范围放大效果更为显著

来自物联网(IoT)设施的攻击来源IP更为分散


重点递归服务器增强对热点互联网域名的应急缓存，在权威服务器查询失败时，向用户响应上一次正常应答，减缓攻击影响面

权威云解析服务增强防御带宽，对托管的重点互联网域名实施分区服务，并提升重点访问来源IP白名单的识别能力，以应对海量真实IP的攻击

物联网设备自身的安全防护，以及可访问域名的安全限制措施

recursive
==============

2014.12 国内递归反射DDoS事件
----------------------------------------------------

BCP38，近源处置

2012.02 湖南电信DDoS事件
----------------------------------------------------

合法源IP的僵尸访问

递归扛，家用路由器限，安全终端防，联动


2009.05 DNSPOD
----------------------------------------------------

第三方权威服务DDoS+暴风影音客户端傻瓜重试，导致权威停止服务，递归反射，大面积断网

权威服务安全防御能力

递归应急缓存能力，对servfail/timeout的处理策略

客户端做为分布式DDoS攻击源







协议缺陷
==========================================================

referral
----------------------------------------------------

`The “Indefinitely” Delegating NameServers (iDNS) Attack <https://indico.dns-oarc.net/event/21/contributions/301/attachments/272/492/slides.pdf>`_