斩首攻击（Decapitation strike）一词是军事用语，是以瘫痪敌人指挥系统、破坏通讯媒介为主要手段的战略，因此近来我们常在大众传播媒体上，看到以「斩首」来形容击杀恐怖份子首脑的行动。

       在IT领域里面，也有人用「斩首攻击」来形容所面临到的一些信息安全威胁，例如，透过切断海底电缆，即可让国家对外的通讯网路无法运作，去年就有三个埃及潜水员企图破坏对外网络连线的海底电缆。

       有另一个例子。去年菲律宾海巡射杀我国渔民而引发键盘开战的事件中，有媒体用「斩首」来比喻这项攻击行动的结果。因为当中所采用的手法，除了对菲国政府网站执行DDoS攻击，瘫痪网页服务，并且取得、公布该国大量网站的账号密码，更严重的是侵入该国政府机关的DNS服务器（dns.gov.ph）、公布里面存放的数据库内容，而且植入插旗网页以宣示攻占。

       事实上，DNS服务器被骇、数据库外泄，比个别网站停摆还要严重，因为有心人士能透过这种方式，不仅收集到所有相关网站的网域名称，还可能透过一些更精致的攻击手法，快速且更大规模地影响所有存取DNS服务的计算机与服务器，例如将存取原本网站的连线与流量，导引至伪造的恶意网站，趁机搜集使用者账号、密码。

       举一个简单的例子来说，若取得DNS服务器的控制权，攻击者可将伪造的网域名称与所对应的IP位址记录，窜改或置入DNS的快取，而连上这台DNS服务器查询该网域名称的使用者，就会连到这个假的IP位址所在的网站，而这个IP位址所在的网站会做得跟原来网站很类似，让你毫不设防地输入账号、密码，如此一来，使用者的资料就可以被偷偷收集下来。也有人会透过另一种方法来操弄，例如架设一台Proxy服务器，然后修改DNS中的网域名称记录，让用户所有的网站连线都先偷偷地经过这台服务器，再连到目的地，以掌握使用者的连线过程。

不过，你以为设法强化DNS服务器本身的系统安全性，就不会发生被攻击的事件了吗？大错特错！就算不正面入侵DNS服务器，黑客还是可以透过其他方法来绑架你的DNS服务。

       就算身为技术能力超凡如云端服务、搜寻引擎界的巨擘Google，最近也频频中招。今年3月中，Google提供给大众使用的公共DNS服务8.8.8.8，就发生了DNS流量遭劫持到巴西与委内瑞拉，目的是攻击英国电信公司的南美洲分公司，时间达22分钟。当时大约有多少人影响？根据Google DNS公布的处理量来看，每天平均处理超过1,300亿次的查询量，提出域名查询请求的来源IP位址7千万个，二十多分钟所绑架的规模之大，可想而知。

上述这些攻击方式，算是偷天换日的低调手法，若没有经过媒体揭露，可能就神不知、鬼不觉地进行，无人发现，但DNS攻击也可以是非常明目张胆的，若用在DDoS攻击上，所产生的力道与影响程度，也可以是非常惊人的。例如，去年发生在反垃圾邮件组织SpamHaus的DDoS攻击，来自全球各地、总共高达300Gbps的网络流量直逼而来，不只瘫痪了他们，也让整个欧洲网际网络大塞车，而这样的巨量攻击之所以能成立，就是利用DNS的网络传输方式──透过发出伪造IP位址作为来源的大量DNS查询请求，让众多DNS服务器将回覆的庞大资料量，传送到攻击目标所在的网络位置。

        这种攻击结合了好几种方式，包括较多人熟知的殭尸网络，以及DNS攻击中的折射攻击与放大攻击，黑客可以安然地躲在重重幕后，发动惊天动地的网络攻击，而且，受害所及范围也扩大到周边网络。在此之前，巨量DDoS攻击的网络流量，最多100Gbps上下。

        该怎么因应这样千变万化的攻击手法呢？当然，对于你所管理的DNS服务器，本身的设定要适当，面对所有非必要的查询请求，也必须能够辨识并予以管制，不过，要做到这件事，对于DNS服务器的效能需求也会变高，而且可能要架设更多台DNS服务器来分散负载，企业最好要有心理准备。