McAfee防火墙

最近本人发现了一种翻新分散式拒绝服务(DDOS)攻击的手法，开始用形同互联网黄页的域名系统服务器来发动攻击，扰乱在线商务。
VeriSign公司上周表示，今年初发现该公司系统承受的攻击规模甚于以往，而且来源不是被绑架的“僵尸”(bot)电脑，而是出自于域名系统（DNS）服务器。
安全研究员Dan Kaminsky说：“DNS已成为DDOS重要的一环。门槛已降低了。人们现在可凭更少的资源，发动可能极具破坏力的攻击。”
一旦成为DDOS攻击的箭靶，目标系统不论是网页服务器、域名服务器或电子邮件服务器，都会被网络上四面八方的系统所传来的巨量信息给淹没。黑客的用意是借大量垃圾信息妨碍系统正常的信息处理，借此切断攻击目标对外的连线。
不同于被绑架的僵尸电脑，DNS服务器是合法的网络良民，其作用是把文字型域名名称(例如www.cnet.com)转换成相对应的数字型互联网协定（IP）位址，以引导使用者上他们想到的网站。
现在，一般人常用僵尸电脑连成的网络(botnet)，把大量的查询要求传至开放的DNS服务器。这些查询信息会假造得像是被巨量信息攻击的目标所传出的，因此DNS服务器会把回应信息传到那个网址。
但是如果用DNS服务器来发动攻击有多重好处，可隐匿自己的系统，让受害者难以追查攻击的原始来源，更可让攻击效果加倍。Baylor大学信息系教授Randal Vaughn说，单一的DNS查询，可启动比原始查询大73倍的回应。
DNS发明人兼Nominum公司首席科学家Paul Mockapetris打个比方说，若你企图让垃圾邮件塞爆某人的信箱，基本的方法就是寄很多信到该地址，但你必须费很多时间写信，而且发信来源追查得出来。
他说：“更好的方法，是寄出杂志里常见的那种广告回函卡，勾选各种想索取的信息，然后把回信地址填上目标信箱，就会让那个信箱爆掉，同时消除与你有关的链接。”用DNS服务器发动DDOS攻击，就是运用这种原理。
但如果拦阻一台DNS服务器对外的连线，可能造成合法使用者无法传电子邮件或浏览某网站。问题出在所谓的“递回