关于 DNS 防护的疑问

DDoS 中有通过 NS 服务器进行 DNS 中转并放大攻击的办法。

每家 DNS 都会有一个 QPS 值，如果 QPS 查询攻击超过了防护值，就会停止解析

针对授权 DNS 的攻击有多种方法

通常不会打非 53 的 UDP ，或者 TCP 流量，因为这些可以在上层过滤
并且，从这些攻击流量很可能无法识别攻击目标是谁，授权 DNS 只能死扛，否则就影响整体业务

所以，攻击者为了达到最佳效果，通常会打 DNS query

@qcloud qps 这个明白了 那像阿里云 dns 提供 2G 流量的防护，也是类似的意思吗？

@piaoliu 看下这个 http://www.kangddos.com/1238.html

@lhbc 明白人，攻击者的真实目的是让 DNS 停止攻击域名的解析，真的打挂 DNS 对攻击者并没有什么好处，所以 DNS query 肯定会打，以便让 DNS 服务商识别到哪个域名被攻击，从而处理被攻击的域名。
不过单纯的 DNS Query Flood 对传统 DNS 也许有效，但是随着 DPDK 和众核在 DNS 解析程序的普及，大家的包处理能力都高到爆表了，对现在的各种高防 DNS 基本没什么效果，所以更常见的方式是 DNS Query 和带宽流量型攻击的混合方式攻击，就是打爆你的带宽， DNS Query Flood 也就剩下让你知道打的是哪个域名的作用了。

dnspod 是针对权威域名进行解析的，默认只接受 tcp 和 udp 53 的请求，同时将递归解析的域名拒绝查询。而针对权威域名的解析就会进行阀值限制。限制 IP 可能走的防火。。