我正在阅读有关Google 新公共 DNS 服务的一些说明:
我在安全部分注意到这一段:
在普遍实施针对 DNS 漏洞的标准全系统解决方案(例如 DNSSEC2 协议)之前,开放式 DNS 解析器需要独立采取一些措施来缓解已知威胁。已经提出了许多技术;请参阅IETF RFC 4542:使 DNS 更能抵御伪造答案的措施,以了解其中大部分内容的概述。在 Google 公共 DNS 中,我们已实施并推荐以下方法:
- 过度配置机器资源以防止对解析器本身的直接 DoS 攻击。由于 IP 地址对于攻击者来说是微不足道的,因此无法阻止基于 IP 地址或子网的查询;处理此类攻击的唯一有效方法是简单地吸收负载。
这是一个令人沮丧的认识;即使在堆栈溢出/服务器故障/超级用户上,我们也经常使用 IP 地址作为各种禁止和阻止的基础。
认为一个“有才华”的攻击者可以随便使用他们想要的任何IP地址,并合成尽可能多的唯一假IP地址,真是太可怕了!
所以我的问题: