介绍DNS Reply flood攻击和防御原理。

DNS Reply Flood是指攻击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器或主机，从而消耗服务器的处理性能。

FW基于目的地址对DNS回应报文速率进行统计，当DNS回应报文速率超过阈值时，启动源认证。

当FW收到DNS Reply报文时，构造携带新的Query ID和源端口的DNS Request探测报文。当FW再次收到对端发出的DNS Reply报文时，检查DNS Reply报文中的Query ID和源端口与DNS Request报文中是否一致，如果一致则将源IP地址加入白名单。处理过程如图1所示。

图1 DNS Reply Flood源认证报文交互过程

其主要原理可以归结成，当FW在一段时间内接收到大量的DNS reply报文的话，就会促使防火墙去发送DNS探测，如果目的主机可以进行正常的DNS回复，那么就说明发送DNS reply报文的主机是一个正常提供DNS服务的主机