一、PRSD核心定义与基本概念

Pseudo-Random Subdomain（PRSD，伪随机子域名），是指依托伪随机算法生成、无实际业务意义、字符组合看似无序且无规律的子域名，这类子域名并非完全随机，而是遵循特定算法逻辑生成，具备可复现、有熵值特征的特性。日常场景中，PRSD常被关联指代伪随机子域名攻击（PRSD攻击），也被称作随机子域名攻击、NXDOMAIN洪水攻击、水刑攻击，是当下主流的DNS基础设施DDoS攻击与信息探测复合型威胁手段。

正常子域名多为企业业务专属，如blog.example.com、api.example.com，具备明确语义与业务用途；而PRSD无对应真实服务器，攻击者借助自动化工具批量生成这类子域名，定向向目标DNS服务器发起解析请求，以此达成攻击目的，是网络黑产针对域名系统的常用攻击载体。

二、PRSD攻击核心原理与执行流程

2.1 核心攻击原理

PRSD攻击的核心逻辑，是利用DNS解析机制的漏洞：目标权威DNS服务器接收到未知伪随机子域名的解析请求时，无法匹配到有效解析记录，会持续消耗CPU、内存、带宽等硬件资源，反复返回NXDOMAIN（域名不存在）响应；同时，递归DNS缓存服务器因无对应缓存记录，会持续向权威服务器转发请求，形成双重流量压力，最终耗尽DNS服务器资源，导致正常域名解析瘫痪、业务无法访问。

区别于传统DNS洪水攻击，PRSD攻击的请求看似合规，并非直接攻击现有业务子域名，隐蔽性极强，普通防火墙与流量清洗设备难以快速识别拦截，属于“慢耗型”精准攻击。

2.2 标准执行流程

1. 伪随机子域名生成：攻击者借助dnsrecon、massdns、gobuster等自动化工具，通过伪随机算法批量生成无规律字符组合的子域名，格式多为“随机字符串+主域名”，如a7s9k2.example.com、x3p8z7.example.com，字符集涵盖大小写字母、数字，部分会混入特殊符号，子域名长度、熵值均符合预设算法特征。

2. 海量请求分发：攻击者控制傀儡机、僵尸网络，向各地递归DNS缓存服务器高频发送PRSD解析请求，请求源IP分散、请求频次极高，规避单一IP封禁策略。

3. DNS链路压力传导：递归DNS服务器无对应缓存，自动向目标权威DNS服务器转发请求，权威DNS服务器逐一校验子域名合法性，持续返回NXDOMAIN响应，资源被大量占用。

4. 攻击效果达成：随着无效请求持续涌入，权威DNS服务器资源耗尽，无法处理正常业务域名的解析请求，最终导致主域名及旗下业务全线瘫痪，甚至引发DNS服务器宕机。

三、PRSD的典型特征与识别依据

精准识别PRSD，是防御攻击的核心前提，这类伪随机子域名及对应攻击流量具备鲜明特征，可通过多维度指标快速甄别：

• 字符特征：子域名字符串无实际语义，无英文单词、拼音等规律组合，熵值（香农熵）远高于正常业务子域名，字符混杂、无固定命名规则。

• 请求特征：单IP或多IP发起的请求频次异常，短时间内针对同一主域名发起大量不同PRSD解析请求，且请求均返回NXDOMAIN响应，无有效解析记录。

• 域名特征：子域名前缀无重复、无规律，仅主域名固定，不存在正常业务子域名的复用性，且无历史解析记录，属于一次性无效域名。

• 流量特征：DNS入站流量突增，且无效请求占比远超正常请求，递归DNS服务器转发流量占比过高，权威服务器响应负载持续飙升。

四、PRSD攻击的主要危害

PRSD攻击看似仅针对DNS服务器，实则会引发连锁业务风险，对企业运维、品牌信誉、业务运营造成多重损失，核心危害如下：

4.1 DNS基础设施瘫痪

大量无效PRSD解析请求持续占用DNS服务器资源，导致CPU满载、内存溢出、带宽被占满，权威DNS与递归DNS服务器无法正常运转，甚至出现宕机，彻底丧失域名解析能力。

4.2 核心业务中断

DNS是互联网业务的入口，解析服务瘫痪后，企业官网、APP、小程序、API接口等业务无法通过域名访问，用户无法正常使用服务，直接造成营收损失、用户流失，尤其对电商、金融、政企等依赖线上业务的主体影响致命。

4.3 运维成本激增

攻击发生后，运维团队需紧急排查流量、定位攻击源、部署防护策略，耗费大量人力物力；若防护不到位，攻击持续反复，会大幅提升运维压力与应急成本。

4.4 品牌信誉受损

业务长时间无法访问，会降低用户信任度，引发用户投诉与负面舆情，损害企业品牌形象，尤其对重视服务稳定性的行业，信誉修复难度极大。

五、PRSD的检测与防护方案

5.1 主流检测手段

1. 熵值检测法：通过计算子域名字符串的香农熵，筛选熵值超出正常阈值的子域名，判定为PRSD，是最核心的识别方式，适配绝大多数伪随机生成规则。

2. 特征匹配检测：提取PRSD的字符集、长度、生成规律等特征，建立特征库，对DNS请求进行实时匹配，拦截异常子域名请求。

3. 流量行为分析：监控DNS请求频次、源IP分布、NXDOMAIN响应占比，识别短时间内高频发起无效子域名请求的异常流量，定位攻击行为。

4. 白名单校验：梳理企业正常业务子域名，建立白名单，仅允许白名单内的子域名解析请求通过，拦截所有未知子域名请求。

5.2 全方位防护策略

5.2.1 前置防护：递归DNS侧拦截

在ISP递归DNS缓存服务器部署PRSD防护模块，提前识别伪随机子域名请求，直接拦截无效请求，避免转发至权威DNS服务器，从源头阻断攻击流量传导，降低权威服务器压力。

5.2.2 核心防护：权威DNS侧加固

升级权威DNS服务器防护能力，部署抗DDoS设备、DNS防火墙，开启NXDOMAIN限流、异常请求封禁功能；针对高频无效请求，自动拉黑源IP，限制单IP请求频次，缓解资源消耗。

5.2.3 策略优化：域名解析管控

严格管控子域名解析权限，关闭不必要的泛域名解析，避免攻击者利用泛域名发起PRSD攻击；定期梳理子域名白名单，清理无效、闲置子域名，缩小攻击面。

5.2.4 应急处置：实时监控与响应

搭建DNS流量实时监控平台，对流量异常、请求异常、响应异常等情况设置告警阈值，攻击发生时快速触发告警，运维团队即时启动应急预案，切换防护节点、清洗恶意流量，保障业务快速恢复。

六、总结

PRSD（伪随机子域名）本身是一种无意义的算法生成域名，但其衍生的PRSD攻击，凭借高隐蔽性、强破坏力、难拦截的特性，成为DNS基础设施的核心威胁之一。随着互联网业务对DNS依赖度不断提升，企业需重视PRSD攻击风险，搭建“检测-防护-应急”全流程防护体系，通过精准识别、前置拦截、策略加固等手段，筑牢DNS安全防线，保障业务域名解析稳定与线上业务正常运转。