DDoS-атака
Самая банальная и при этом весьма действенная. Целью её является блокирование работы вашего DNS-сервера. Чаще всего это необходимо в том случае, если ваши серверы хранят файлы определённых зон, работу которых необходимо прервать.
Известно несколько вариантов реализации DDoS-атак, и зачастую невозможно отличить атакующий трафик от полезного. При этом DDoS-атака несет в себе по меньшей мере два негативных момента - замедление обработки поступающих запросов (вследствие высокой загрузки сервера) и забивание каналов передачи данных, к которым подключены DNS-серверы.
Лучшим, на мой взгляд, решением будет доверить хранение файлов ваших зон специализированному хостингу. Он, как правило, имеет гораздо более мощные серверы, каналы передачи данных и распределенную структуру, а, следовательно, более устойчив к атакам.
В случае если этот вариант неприемлем, существуют определенные способы противодействия различного рода атакам из сети Интернет.
Это, во-первых, внедрение локальной системы обнаружения вторжений, а во-вторых, использование онлайн - сервисов, осуществляющих те же самые действия, но при этом освобождающих вас от необходимости установки и настройки весьма сложной системы.
На самом деле это все системы комплексной защиты, и защита DNS-сервера является лишь частным случаем, потому рассмотрению подобных систем мы посвятим одну из следующих статей.
Межсегментная удаленная атака на DNS-сервер
Служба DNS в своей работе использует протокол UDP. Он работает быстрее, чем TCP, и снижает накладные расходы на сервер. Это связано с тем, что UDP-протокол в отличие от TCP не ориентирован на соединение. Отсюда все его плюсы и минусы.
Из минусов можно выделить то, что данный протокол не имеет средств идентификации сообщений. Говоря простым языком, на уровне UDP нельзя гарантировать, что UDP - дейтаграмма, поступившая в ответ на наш запрос пришла действительно от того хоста, с которым мы работаем, и не была сфальсифицирована на другой машине.
