DNS 放大攻击的工作原理是什么？

所有放大攻击都利用攻击者和目标 Web 资源之间的带宽消耗差异。当消耗差异经过多次请求而被放大时，所产生的流量可导致网络基础设施中断。通过发送小型请求来导致大规模响应，恶意用户就能达到四两拨千斤的效果。当通过某个僵尸网络中的每个自动程序都发出类似请求来使这种放大效果倍增时，攻击者既能躲避检测，又能收获攻击流量大增的好处。

在 DNS 放大攻击中，其中一个机器人好比是一个心怀恶意的青少年打电话给一家餐厅，说“我要每样东西点一份，请给我回电话，告诉我整个订单”。当餐厅询问回电号码时，提供的是目标受害者的电话号码。然后目标会接到来自餐厅的电话，提供其并未请求的大量信息。

由于每个自动程序向开放 DNS 解析器提出请求时都提供欺骗性 IP 地址，也就是目标受害者的真实源 IP 地址，目标随后会收到来自 DNS 解析器的响应。为了产生大量流量，攻击者会以某种方式来构造请求，以便让 DNS 解析器产生尽可能大的响应。因此，目标接收攻击者的初始流量的放大结果，其网络被虚假流量堵塞，导致拒绝服务。