利用域名解析伺服器不验证请求源的弱点，攻击者伪装成攻击目标域名向全世界数以百万计的域名解析伺服器传送查询请求，域名伺服器返回的数据要远大于请求的数据，导致目标遭受了放大数十倍的DDoS攻击。被利用的域名伺服器因此每天会收到大量的恶意请求，它也不断的遭受较小规模的DDoS攻击。

所谓的拒绝服务攻击就是通过占满伺服器的所有服务执行绪或者网路频宽，导致正常的服务请求无法得到回响，致使伺服器处于瘫痪的状态。DoS攻击一般是针对WWW伺服器，SMTP伺服器等。众所周知，正常的一次TCP会话首先通过三次协商握手才能完成，首先客户机向目标伺服器传送带有SYN的会话请求，然后伺服器向客户机向客户机传送回复讯息，最后还需客户机再回送一个确认讯息。如果客户机传送的请求包里面的源IP位址是不可达的IP位址，那幺伺服器发出的回覆讯息将永远得不到确认，此时伺服器一位是网路拥塞等问题，一直再等待确认讯息和重发回讯息，而且时间周期越来越长。试想如果客户机传送大量的这样的无效请求，那幺伺服器的服务执行绪就会瞬时被占满。

DoS是Denial of Service的简称，即拒绝服务攻击，造成攻击行为被称为DoS攻击，其目的是使计算机或网路无法提供正常的服务。最常见的DoS攻击有计算机网路频宽攻击和连通性攻击。

1、频宽攻击。频宽攻击指以极大的通信量冲击网路，使得所有可用网路资源都被消耗殆尽，最后导致合法的用户请求无法通过。

2、连通性攻击。连通性攻击指用大量的连线请求冲击计算机，使得所有可用的作业系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。常用的攻击手段有：同步洪流、Land攻击、Ping洪流、UDP攻击、OOB等。

具体的防範措施如下：

1、防止此类攻击的一种方法是实现DNSSEC，验证DNS请求源的身份。但旧的DNS基础架构很难改变。现在，推出了虚拟DNS服务，为域名解析伺服器提供基于云端的DNS查询和快取代理服务，验证请求源的身份。

2、防火墙防御。防火墙是防御DoS攻击最有效的方法。目前很多厂商的防火墙都注入了专门针对DoS攻击的功能。现在防火墙中防御DoS攻击的主流技术主要有两种：连线监控和同步网关。

3、路由器防御。路由器作为整个网际网路的组网设备，可以通过路由器一些访问控制和QoS设定功能来达到防御DoS的目的。

4、系统防御。每个作业系统都有一些参数用来设定TCP/IP的运行性能，修改这些参数用来防御DoS也有一定效果，但是这只是辅助措施。