DNS NXDOMAIN ağırlıklı sorgu flood'u
Var olmayan isimlere yapılan sorgular resolver önbelleğini atlar — önbellekli A kaydı flood'undan farklı bir desen.
Nasıl çalışır?
- Her rastgele alt alan sorgusu önbellek isabetsizliği yaratır.
- Recursive resolver upstream veya authoritative zincirini dolaşır.
- Yanıt baytları küçük kalsa bile CPU artar.
Paket akışı (örnek)
Engarde node Hedef
→Query: api.example.com A
←Answer: 203.0.113.10
→Query: randomNN.example.com
←NXDOMAIN
Örnek akış — canlı PCAP değildir.
Desen Cache miss QPS
Engarde DNS sorgu modu
Etki Resolver CPU
Engarde'de ne izlenmeli?
- Resolver CPU vs. authoritative yük.
- Upstream sağlayıcıda QPS limit tetiklenmesi.
Bu simülasyonu çalıştırma
Yetkili resolver'a DNS attack yapılandırın; önbellekli isim sorgusu ile karşılaştırın.
Mitigasyon perspektifi
İstemci başına QPS, NXDOMAIN rate limit (RRL) ve negatif önbellek TTL ayarı.