DNSサーバーに対するUDPフラッドベースのDDOS攻撃をどのように防止しますか？

はい、可能です。攻撃者はソースIPを40億近くのIPの1つに偽造する可能性があるため、ブロックするのも簡単ではありません。ただし、このような攻撃の多くは、データグラム内のDNSデータを調べることでフィルタリングできます。多くのフラッド攻撃は、無効なデータを使用するか、同じデータを何度も使用します。ディープパケットインスペクションが可能なネットワーク機器がある場合、これを使用して、有効なトラフィックと無効なトラフィックを区別できます。攻撃は依然としてかなりの帯域幅を使用しますが、少なくともネームサーバーの過負荷を防ぐことができます。

ただし、通常、ネームサーバー自体はこの種の攻撃のターゲットではありません。ランダムな送信元IPを使用する代わりに、送信元IPは実際のターゲットのIPに設定されます：DNSリフレクション攻撃。非常に短い質問で長い回答がネームサーバーに送信され、ネームサーバーは回答をターゲットIPアドレスに送信して、トラフィックで溢れさせます。これは、ターゲットが絞られているため、単一のソースとして表示されるため、ネームサーバー側でのフィルタリングが簡単です。

他のDoS攻撃と同様に、防止方法や保護方法はありません。唯一のツールは、送信元IPアドレスからnullルートを追加することです。ルーターがトラフィックをブロックしている場合でも、着信帯域幅を浪費しているため、他のユーザーがサービスにアクセスすることを拒否しています。

最終的には、ソースに近いインターネット組織に連絡して、同様にソースをインターネットから切り離す必要があります。

したがって、実際にできることは、1つのホストがDoSを実行できないように十分なサービスをプロビジョニングすることだけですが、ボットネットがDoSを開始するとどうなるかを自問してください。ホストの規模により、通常のユーザーにも影響を与えない保護スキームを設定することは不可能です。