DNS rastgele alt alan (A) flood'u
Sabit zone altında rastgele etiketler geçerli A yanıtları alırken önbellek isabetsizliği yaratır — NXDOMAIN deseninden farklı.
Nasıl çalışır?
- Desen: isim mevcut veya wildcard çözümlerken randomNN.example.com A sorguları.
- Yanıtlar başarılı olsa bile her sorgu resolver önbelleğini miss eder.
- Authoritative sunucu benzersiz etiket başına lookup işi yapar.
- Negatif vs. pozitif önbellek yollarını test etmek için NXDOMAIN deseni ile karşılaştırın.
Paket akışı (örnek)
Engarde node Hedef
→Query: api.example.com A
←Answer: 203.0.113.10
→Query: randomNN.example.com
←NXDOMAIN
Örnek akış — canlı PCAP değildir.
Desen Rastgele etiket A
vs NXDOMAIN Geçerli yanıt
Engarde DNS hedef listesi
Engarde'de ne izlenmeli?
- Authoritative QPS vs. resolver CPU.
- Etiket patlamasında wildcard zone davranışı.
- Authoritative tarafında RRL tetiklenmesi.
Bu simülasyonu çalıştırma
Kontrol ettiğiniz zone'da wildcard veya önceden açılmış rastgele etiketlerle DNS flood; sabit isimli önbellekli sorgularla karşılaştırın.
Mitigasyon perspektifi
Authoritative'da wildcard rate limit ve istemci başına QPS; glue NS yükünü izleyin.