一、漏洞详情

    伪造权威DNS网段的源地址，向DNS发起查询，域名为hongmao520.com、cqxqjx.com等；

DNS收到后回复时发现同网段无真实IP地址，ARP等待导致丢包，影响用户服务。

    二、影响范围

此攻击方式不仅针对DNS，也会影响学校所有的公网服务

    三、修复方案

    1、（临时）对DNS网网段IP或域名进行限速或丢包，网瑞达DNS系统在界面上进行拦截配置即可；

    2、在核心设备上启用uRPF进行源地址检查，但需要注意有无非对称路由或多路径路由，这是比较彻底的解决方案；

    3、在出口处对入流量、源地址是校内IP的丢弃处理，这也可以缓解攻击。