论DNS是如何放大攻击?

1、DNS放大攻击的一个重要组成部分是访问开放式DNS解析器。 通过将配置不当的DNS解析器暴露给Internet，攻击者需要做的就是利用DNS解析器来发现它。 理想情况下，DNS解析器应仅向源自受信任域的设备提供其服务。

2、DNS放大攻击不包括广播地址。相反，这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。

3、然后解析结果返回给被攻击目标。由于DNS解析一般是UDP请求，不需要握手，源地址属性易于伪造，而且部分“肉鸡”在平时本来就是合法的IP地址，我们很难验证请求的真实性和合法性。