DDoS

DNS DDoS的问题在于：伪造UDP查询，无身份认证；放大攻击，递归反射。。。

root

Anycast。。。

分区域部署根服务，限制攻击影响范围

带宽，分散部署，重点来源IP区分服务，专用服务区。。。

分布式探测点的时延变化

常见IP到顶级域的访问记录变化

热点短TTL域名二级权威的访问IP数变化

重点递归，热点域名平均时延变化，重启一次查询时延变化

云解析服务提供商往往托管着大量域名，因此针对此类服务的攻击影响范围放大效果更为显著

来自物联网(IoT)设施的攻击来源IP更为分散

重点递归服务器增强对热点互联网域名的应急缓存，在权威服务器查询失败时，向用户响应上一次正常应答，减缓攻击影响面

权威云解析服务增强防御带宽，对托管的重点互联网域名实施分区服务，并提升重点访问来源IP白名单的识别能力，以应对海量真实IP的攻击

物联网设备自身的安全防护，以及可访问域名的安全限制措施

BCP38，近源处置

合法源IP的僵尸访问

递归扛，家用路由器限，安全终端防，联动

第三方权威服务DDoS+暴风影音客户端傻瓜重试，导致权威停止服务，递归反射，大面积断网

权威服务安全防御能力

递归应急缓存能力，对servfail/timeout的处理策略

客户端做为分布式DDoS攻击源