域名系统(Domain Name System，DNS)是重要的互联网基础设施，主要功能是负责域名和IP地址的相互转换。DNS的正常运行，是WWW、Email、FTP等众多互联网服务正常工作的基础。　　 由于DNS协议自身的安全缺陷使得它面临很多安全威胁，非常容易遭受攻击。在这些DNS攻击中，比较常见的有域名劫持、缓存中毒、DDoS攻击等。为了解决DNS面临的安全问题，IETF成立了DNSEXT工作组来推动DNS的一种安全方案：DNSEEC。但DNSSEC不能解决DDoS攻击，DNS安全形式仍然严峻。　　 在针对DNS的DDoS攻击中，DNS放大攻击是最近几年逐渐流行的一种攻击方式。DNS放大攻击的攻击形式简单，容易实施，危害严重。开展对DNS放大攻击的研究具有重要的意义。　　 本文分析了DNS放大攻击的原理，探讨了攻击的各个组成部分以及起到的作用。在理论支持下搭建了模拟环境来进行DNS放大攻击实验。在实验中，收集攻击数据并对结果进行了统计分析，来发现DNS放大攻击的流量特征。根据这些流量特征，我们提出了一个基于卡方检验的检测DNS放大攻击的算法，将流量中变化比较明显的属性进行卡方检验，根据背离正常流量的程度来检测攻击。最后，本文提出了一套全面的抵御DNS放大攻击的方案。