DNS协议是一个十分重要的网络协议，所以这个协议的可用性就异常重要。为了让DNS拒绝服务，恶意攻击者向允许递归的开放DNS解析器发送大量伪造的查询请求。目前互联网中存在着上百万开放的DNS解析器，包括很多的家庭网关。

　　开放的DNS解析器会认为这些伪造的查询请求是真实有效的，并且会对这些请求进行处理，在处理完成之后，便会向伪造的请求者(即，受害人)返回DNS响应信息。如果查询请求的数量巨大，DNS服务器很有可能会发送大量的DNS响应信息。这也就是我们常说的放大攻击，这种方法利用的是DNS解析器中的错误配置。由于DNS服务器配置错误，那么DNS解析器很可能会在接收到一个非常小的DNS查询请求之后，向目标主机返回大量的攻击流量。在另一种类型的攻击中，是向DNS服务器发送未经许可或不符合规则的查询请求来进行攻击。

　　那么我们就来介绍下如何通过Fortinet所提供的FortiDDoS解决方案中10招简单实用的方法介绍10种简单而实用的方法来缓解DNS泛洪攻击所带来的影响，更好地保护DNS基础设施。

　　不允许未经过请求的DNS响应

　　·一个典型的DNS交换信息是由解析器到服务器的请求，以及从服务器到解析器到服务器的响应信息组成。 没有未经过请求的回应，同样也没有回应信息也不会被回应信息响应。

　　·FortiDDos部署在DNS解析器之前，DNS解析可以是一个开放的解析器或一台认证服务器。

　　·这是一种连接在网络中的设备，其每秒可以处理数百万次查询请求，且将查询信息和相应响应信息记录在内存表中。

　　·当一个回应已经到达，但如果相应的请求没有通过， 回应就被丢弃。这种机制能够有效地缓解DDos攻击影响。　 

　　丢弃快速重传数据包

　　·即便是在数据包丢失的情况下，任何合法的DNS客户端均不会在较短的时间间隔向同一DNS服务器发送相同的查询请求。每个RFC均需遵守查询重传数据包的规则。

　　·因此，如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高，那么数据包可丢弃。 

　　如果DNS服务器已经发送了响应信息，应禁止服务器在较短时间间隔内对相同的查询请求信息进行响应——启用TTL

　　·一个合法的DNS客户端如果已经接收到了响应信息，就不会再次发送相同的查询请求。

　　·每一个响应信息都应进行缓存处理直到TTL过期。当DNS遭遇请求泛洪时可以启动阻断无关的请求。