NXDomain 攻擊

　NXDomain 攻擊是什麼？
　NXDomain 攻擊(Non-Existent Domain Attack) 無效網域攻擊，是一種 DNS 洪水攻擊、一種針對 DNS 伺服器的 DDoS 攻擊手法。

　NXDomain 攻擊的攻擊者會利用查詢大量不存在的網域名稱，讓 DNS 伺服器不斷進行查找和回應「NXDomain 不存在網域」錯誤訊息，迫使 DNS 伺服器不斷消耗資源處理無效請求，導致伺服器資源被消耗殆盡、阻斷服務(DDoS)，最終造成合法的正常使用者無法獲得正確的 DNS 回應，影響網站或服務的可用性。

【NXDomain 攻擊特徵】
NXDomain 攻擊的特徵，就在於查詢的網域幾乎都不存在、請求量極高並且來源可能經過殭屍網路偽裝，導致合法的正常使用者遇到「無法解析網域」或「網站無法連線」的問題。

【NXDomain 攻擊影響】
NXDomain 攻擊導致的影響...

• 服務中斷：網站無法被正確解析，導致整個服務下線。

• 資源耗盡：DNS 伺服器過度運算與流量負擔，甚至影響其他關聯服務。

• 連鎖反應：由於 DNS 是網路基礎設施，影響範圍可能不只單一網站，而是整個網路環境。

NXDomain 攻擊原理

　NXDomain 攻擊屬於一種 DNS 基礎設施型 DDoS 攻擊，它的核心是濫用 DNS 查詢與響應的處理機制，其原理如下。

• 攻擊者發送大量「不存在的網域」請求
  駭客透過殭屍網路控制數以千計、甚至上百萬的感染設備，產生大量隨機、亂數化的網域名稱查詢，這些網域名稱從未註冊，因此 DNS 系統無法直接回應正確 IP。




• DNS 伺服器必須進行完整遞迴查詢
  當接收到這些查詢時，DNS 遞迴伺服器仍然需要依序向 根伺服器、TLD(頂級網域伺服器)、授權 DNS 伺服器進行查詢，最終才能確定「該網域不存在」，並回應 NXDomain 錯誤訊息；在這過程中，伺服器消耗 CPU、記憶體、頻寬與查詢資源。




• 大量 NXDomain 查詢造成資源耗盡
  由於查詢目標都是不存在的網域，因此...

• DNS 伺服器要做許多無效查詢，導致工作量成倍增加

• 快取機制失效：查詢的字串幾乎都是隨機的，DNS Cache 幾乎派不上用場

• 合法流量延遲或中斷：當伺服器忙於處理這些「無效請求」，正常使用者的查詢會被忽略或延遲




• NXDomain 攻擊造成的結果

• 受害者網站無法解析 → 拒絕服務

• DNS 系統層級受影響 → 同一 DNS 服務上的其他網域也遭殃

• 在嚴重情況下，可能導致一整區域的 DNS 基礎設施癱瘓

NXDomain 攻擊情境比喻

　現在我們用生活情境來比喻 NXDomain 攻擊的情境，讓讀者更好的了解。

情境一：圖書館借書

你在圖書館工作，負責幫讀者找書。
正常情況讀者會告訴你要借的書名，如《小王子》；你能很快再系統理查到，並告訴讀者「在 A 區第 9 排」，這種服務很流暢，大家都能順利借到書。

在 NXDomain 攻擊的情況下，有一大群人衝進來輪流問你「有《小123王子qaz》嗎？」「幫我找《灰姑娘QWE-33》」「我想看《不存在的小說ABC1234》」...等；這些書名根本不存在，但你每次都必須花時間翻查系統，最後只能回應：「抱歉，沒有這本書」。

結果...你忙得焦頭爛額，不斷浪費時間處理一堆人報上的這些假書名，真正要借《小王子》的讀者排隊排不到，最後放棄離開，導致圖書館整個服務陷入癱瘓。

• 這就像 NXDomain 攻擊：
  駭客大量丟出「不存在的網域查詢」，讓 DNS 伺服器一直忙著找「不存在的書」，最後導致正常用戶的請求無法被處理。

情境二：外送客服中心查訂單

你在外送客服中心擔任客服人員，負責幫顧客查詢訂單。
正常情況客人會打電話來詢問訂單並附上單號，如單號Q12345；你很快地在系統輸入單號並查到資料，並告訴客人「你的餐點已經在路上」。

在 NXDomain 攻擊的情況下，有一群人打電話進來，每個人都亂報一個像亂碼的訂單號，問你「查一下888XYZ-000？」「我的是999-HHH-321！」「幫我找ABCD-7777-QQQ！」...等；這些訂單號碼根本不存在，但客服人員必須每次都認真輸入系統查詢，最後回答「查無此訂單」。

結果...客服被海量無效電話佔據，完全沒有時間處理真正的客人，正常的客人完全進不來或進來也等超久，整個客服中心就像癱瘓一樣，喪失了服務的功能。

• 這就是 NXDomain 攻擊：
  大量「假訂單查詢」把客服(DNS 伺服器)的資源耗盡，導致真正的客人(合法使用者)無法獲得服務。

　這些比喻的共同點，就是攻擊者透過「不存在的資訊」迫使系統白白浪費資源，導致真正的需求被忽略，這正是 NXDomain 攻擊的本質。

如何防禦NXDomain 攻擊

　防禦 NXDomain 攻擊的核心，就是「限制異常流量 + 分散查詢壓力 + 提前過濾惡意請求」。

DNS層級防護

• 速率限制 (Rate Limiting)
  限制單一來源或單一請求在短時間內的查詢數量，避免殭屍網路發送海量請求壓垮 DNS。

• 查詢模式分析
  偵測大量隨機、異常的查詢字串(例如亂碼、從未出現過的網域)，及時攔截。

• 黑名單 / ACL 過濾
  封鎖異常來源 IP 或網段，降低惡意流量進入核心 DNS。

基礎設施擴展

• Anycast DNS 架構
  利用 Anycast 將同一 IP 地址部署在多個節點，讓流量就近分散，避免集中癱瘓。

• 多層級快取 (DNS Cache)
  儘可能在邊緣節點快速回應，減少遞迴查詢壓力。

• 冗餘架構
  部署多台 DNS 伺服器，確保即使部分伺服器受攻擊，其他伺服器仍可繼續服務。

流量清洗與防禦服務

• DDoS 清洗中心
  在流量進入 DNS 前，先過濾異常與惡意請求，只保留合法查詢。

• 雲端防禦服務
  使用 CDN 或雲端 DNS 防護(如 騰雲運算Skycloud Smart DNS)，分散攻擊流量並快速攔截。

智能防禦策略

• DNS 響應速率限制 (RRL, Response Rate Limiting)
  限制 NXDomain 回應的速率，避免因攻擊導致伺服器忙於回應錯誤查詢。

• 自動化監控與警報
  建立 DNS QPS(每秒查詢次數)、錯誤率、來源分布等監控機制，異常時立即通知與阻擋。

• AI/機器學習偵測
  利用 AI 模型分析流量特徵，區分「正常隨機流量」與「惡意 NXDomain 攻擊」。

最佳化營運面措施

• DNS 查詢白名單 / 合法清單
  針對企業服務，事先設定常見網域、關鍵字，快速識別無效查詢。

• 分散解析服務
  將不同的業務系統 DNS 分開，避免單一攻擊影響整體服務。

• 定期演練
  模擬 NXDomain 攻擊情境，檢測防禦機制與應變流程是否有效。

　這些防禦就是「限制異常流量 + 分散查詢壓力 + 提前過濾惡意請求」，就向客服中心遇到惡意來電，你就會需要設定「單人來電次數限制」(Rate Limit)、增加更多客服人員(冗餘架構/Anycast)、安裝智能來電辨識(AI 流量偵測)，才能確保真正的顧客能順利被服務。

　企業除了加強 DNS 防禦，若能結合 CDN 與 WAF，將應用層與流量層整合防護，可大幅降低 NXDomain 攻擊帶來的影響。

延伸閱讀：
✔【DDoS攻擊】NTP 放大攻擊是什麼？攻擊原理與情境
✔淚滴攻擊是什麼？攻擊原理、情境與防禦
✔零日攻擊是什麼？零時差漏洞攻擊原理、風險與防禦方法
✔【DDoS攻擊】Mirai 殭屍網路惡意軟體機器人
✔【DDoS攻擊】memcached DDoS 攻擊