业内也将反射DDoS称作R-DDoS、DRDoS或“分布式反射拒绝服务攻击”。去年8月份的时候，我们曾深入解析过诸多借助BitTorrent相关协议的“杠杆传播”，但其背后的原理其实很简单。

一名攻击者将一个“损坏的网络包”发送到服务器，然而之后它会被发送回另一个用户（即攻击的受害者）。该网络包会滥用一个特定的协议，借助于各种缺陷，其可放大自身的数量，有时×2、有时×10（甚至还有将攻击增强200倍的）。

根据Akamai的报告，自2015年11月起，该公司已经遭遇并缓解了超过400起DDoS反射攻击。攻击者主要使用了.gov的域名，这归咎于美国法规必须支持DNSSEC。

尽管DNSSEC可以防止域名被劫持，但它却无法阻挡反射DDoS攻击，而攻击者们显然都看到了这个薄弱点，更别提它是标准DNSSEC响应的很大一块了（除了域名和许多认证类相关数据之外）。

Akamai SIRT（安全情报响应小组）表示：攻击者没有做什么特殊的事情，他们用的还是同样的DDoS工具包，因为DNS解析器仍然开放着。问题的关键是他们请求了DNSSEC的域名（通常为a.gov之类，修改为DNS请求的受害者IP，而不是他们自己的）。

开放的DNS解析器会将它翻译成一个IP，通过额外的DNSSEC请求数据来阻塞响应，然后将它发送回受害者IP。

标准DNS响应大小为512字节（bytes），而附带各种配置的DNSSEC甚至能够达到4096字节。这意味着DNSSEC反射DDoS攻击的放大系数，有时甚至能达到8×。

鉴于线上有3200万开放DNS解析器（其中有2800万被认为是受漏洞影响的），攻击者很容易就找到利用它们的方法。

Akamai的报告称，DNSSEC反射DDoS攻击的有记录峰值数据为123.5Gbps，其中超半数都是针对游戏行业的（其次是金融领域）。

好消息是，只需对ALCs进行一些优化，开放DNS解析器能够防止服务被反射DDoS攻击所滥用。