114DNS 已建成系统的权威 DNS 解析能力为全球 .com 和 .net 域名在 DNS 根节点解析量之和的 30 倍,为全球性能最强的权威 DNS 解析平台。
其他 DNS 抗攻击通常采用"准白名单"方法:事先收集国内外主要 ISP 递归服务器的 IP 地址列表,当发生 DNS 攻击的时候启动白名单机制----仅允许这些 ISP 递归服务器访问 DNS 系统。这种方法能对付早期低级的 DNS 攻击者,但现在很多 DNS 攻击者发起的 DNS 攻击都是以 ISP 的递归服务器为跳板的,这些攻击者同样收集了国内外主要 ISP 递归服务器的 IP 地址列表,他们攻击某个域名例如 example.com 的时候,伪造源 IP 并向 ISP 递归服务器列表中的所有 IP 地址发出大量的泛域名 *.example.com 请求,每个伪造的 DNS 包都会被 ISP 的递归服务器送到 example.com 的 NS 服务器去递归从而导致其瘫痪。这种抗攻击方法也难以抵御 DNS 攻击者直接伪造源 IP 地址为 ISP 的递归服务器 IP、IP 头的 TTL 合理随机、IP 头的IPID随机、UDP 头的 Src_Port 随机、DNS 的 Transaction ID 随机而发起的泛域名 DNS 请求攻击。此外,这种方法附加的缺点是误伤,许多企业自用的递归服务器往往不在白名单之列。114DNS 采用其他方法来抵抗 DNS 攻击,结合 114DNS 超强的服务能力,无论 DNS 攻击者以 ISP 的递归服务器为跳板,或是伪造源 IP 地址为 ISP 的递归服务器 IP 而发起 DNS 攻击,114DNS 都能保证权威 DNS 解析系统正常工作。
