申論題

核心機制：UDP（無連線） + 偽造來源 IP → 伺服器把回應送到受害者 → 攻擊者利用大量開放解析器放大流量。

為什麼會放大：某些 DNS 查詢（例如 ANY 查詢或查詢有大量記錄）會產生比請求大很多倍的回應（放大係數），攻擊者利用這點擴大效果。

耗盡的資源：目標網路頻寬（帶寬耗盡）、邊界設備（路由器、防火牆）負載；同時目標 DNS 伺服器或中繼解析器也可能被牽連。

舉例（寫一兩句即可）：攻擊者發送小封包到多個開放 DNS 伺服器，伺服器將大量回應送到受害者，形成洪水流量。

防護（列幾項）：關閉不必要的遞迴解析（disable open recursion）、限制回應給非授權來源、DNS rate limiting、使用源地址驗證（BCP38 / anti-spoofing）、部署 CDN / DDoS 緩解服務、向 upstream ISP 協調黑洞或過濾。