我们如何应对这种DDoS攻击？

我们DNS系统的运维人员在日常部署时要尽量做到DNS应用的负载均衡，提升DNS服务器的处理性能，尽量将解析节点分散，能够做到按不同的IDC或城市实现冗余和容灾机制，通过这些手段可以有效的减轻大流量DDoS攻击发生时所带来的危害。但是如上文所言，针对于如此不堪一击的DNS系统，我们未来还能够从哪些方面出发去应对一般规模或是超大规模的DDoS攻击呢？笔者认为有如下一些解决方案可以值得尝试。

第一，在你的主机遭受DDoS攻击时，最简单的是在本机做策略，譬如iptables等，或是事先将主机kernel加固以应对随时可能出现的风险，但是这种方法不能解决DDoS的根本问题，且非常不灵活。

第二，若通过对流量和攻击报文分析已知DDoS攻击类型，那么也可以通过配置一些策略来减轻攻击带来的危害。譬如对DNS反射攻击的防护，首先若被攻击的服务器并未提供DNS业务，那么可以通过设置访问控制策略直接阻断所有的DNS请求/回应；如果被攻击的服务器是DNS相关服务器，那么最有效的方法是配置DNS服务器，只响应合法区域的查询。不过这种方法需要一定的专业知识，需要运维人员介入，同样是不灵活的。

第三，提供充足的带宽和性能很强的DNS服务器，也就是俗称的“堆机器，拼资源”，不过这种方法也如同饮鸩止渴，期望“魔高一尺，道高一丈”是不太现实的。不过建议管理人员还是需要对DNS服务器的上联链路的负载情况及时做好监控，避免因链路拥塞导致丢包的情况出现，同时还是需要在物理带宽上投入一定的资源以防止上联链路拥塞。

第四，在互联网的核心路由入口侧部署专业的DDoS流量检测设备和DDos流量清洗设备，通过DDoS检测设备与清洗设备之间进行的策略联动，及时对恶意的攻击行为进行发现、清洗、阻断，这也是当下较为为业界所认可的防护方案。通过DNS协议的自身特点，依托Intel、Tilera和Cavium等高效的硬件平台，开发专门针对DDoS流量清洗的系统。这里可以构建专用的DNS防护算法，如DNS QUERY FLOOD防护算法、DNS反射攻击防护等，用于从根本上过滤掉攻击流量。

但对于大量的中小网站、企业而言，花费重金购买防护资源是不现实的，不过现在随着互联网云技术的发展，很多大型互联网公司都提供了云主机服务，如腾讯云，阿里云等，并且免费提供专业的DDoS检测、清洗防护功能，如果广大业务运营者担心自己的业务或主机会遭受到DDoS攻击，选择现有的云服务也不失为一种有效的解决方案。

除了上述提到的几种解决方案，还有一些业界比较成熟的方案值得我们借鉴。比如CloudFlare公司采用的Anycast技术，该技术基于IP路由原理实现了自动流量负载均衡，在发生DDoS攻击时，这种技术能够有效的将攻击流量分流到不同区域的防护节点，进行流量清洗。该方案已经成功的在用户环境中部署。

最后，随着网络上DDoS攻击规模的不断扩大，DDoS工具的自动化，资源充足和带宽充裕，黑客发起DDoS攻击成本越来越低，而针对DDoS的攻防对抗，又是一个博弈对抗的过程。在非技术层面上，事先需要制定好应急预案和应对措施，如业务的自身调整、与运营商的沟通和应急措施同步。当DDoS攻击发生时，需要多个部门间快速的响应，实施应急方案和及时同步处理结果。同时，建议从立法上，对这类攻击进行严惩，提升攻击违法的成本。