方法 / Amplification / DNS
AmplificationAmplificationReflectionUDPSpoofable

DNS 压力测试

将伪造的小型 DNS 查询变成从开放解析器反射回来的超大响应,验证你的边缘能否吸收互联网上流量最大的放大向量之一。

运行 DNS 测试 所有方法
up to 54x
放大系数

工作原理

DNS 运行在 UDP 端口 53 上,开放的递归解析器会以远大于请求的响应来回应查询,尤其是对于 ANY 或大型记录类型。将源地址伪造为你的测试目标,会使那些反射响应堆积到你的基础设施上,把适度的出站努力转化为沉重的入站洪水。本练习验证上游清洗容量、反伪造态势,以及你的网络如何干净利落地卸除反射 UDP 而不对合法 DNS 流量造成附带影响。

参数

pps600k pps瞄准解析器池的查询速率
duration10-600 s持续反射运行的时长
reflectors500-10k hosts开放解析器源池的广度
amp_factor28x-54x受测的响应与查询大小比

从 CLI 运行它

retro-cli
$ retro run dns --target 203.0.113.45 --duration 120

DNS 常见问题

为什么 DNS 放大如此有效?+
一个简短的伪造查询能拉回大数十倍的响应,因此适度的源速率就会在反射目标处变成沉重得多的洪水。正是这种高放大率使其成为最常被提及的流量型向量之一。
运行这个测试能证明什么?+
它表明你的边缘和上游清洗能否大规模吸收反射的 UDP/53,以及在洪水被缓解的同时合法的 DNS 解析能否存活。
这会攻击解析器本身吗?+
不会。在授权测试中,反射流量被导向你拥有的基础设施。其目的是验证你自己的吸收和反伪造控制,而非干扰第三方解析器。