使用多个DNS供应商以缓解DDoS攻击

本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介:

随着不安全物联网(IoT)设备的激增,针对域名系统(DNS)供应商的分布式拒绝服务(DDoS)攻击在数量和规模上正在不断增加。这些攻击随之影响依赖于这些供应商进行域名解析的网站。虽然DNS供应商采取了各种方法来保护自己免受此类攻击,但网站保护自身的方法之一是使用多个DNS供应商。

2016年发生了史上最大规模之一的DDoS攻击,这一攻击是针对DNS供应商Dyn的。此次攻击前后有三波,它通过已感染Mirai恶意软件的物联网设备组成的僵尸网络进行攻击。许多公司都受到此次攻击的影响,比如Amazon、Paypal、Reddit和Github。该攻击导致Dyn无法响应由其域名服务器解析的域名的有效DNS查询,以至于终端用户无法访问相关域名。

据Dyn技术副总裁Phil Stanhope所说,此次Dyn攻击事件还包括一个基于TCP SYN cookie的攻击,该攻击利用了Linux内核的一个错误。SYN cookie是一种用于缓解SYN flood攻击的方法,SYN flood攻击通过连续发送TCP SYN请求来耗尽目标系统的资源。然而,SYN cookie也有自己的问题,在Linux 3.x版本中,一个系统级别的锁用于生成SYN cookie。由于这个级别的锁定,无论内核实际数量多少,系统均如单核系统一样运行,从而降低了其实际处理能力。Linux 4.x版本通过使用针对各个CPU内核的局部锁来解决这个问题。

DNS供应商采用了各种方法来防止攻击,比如清理(scrubbing)。清理是通过第三方来过滤所有流量。第三方以提供保护为服务,清除恶意流量,使合法流量通过并到达最终目的地。许多厂商提供这样的服务,比如Akamai、AT&T、Verizon和Arbor Networks。

对某个网站或域名的任何HTTP(或其他协议)请求,都需进行DNS查询,以将域名解析为一个或多个IP地址。该请求穿行于域名中各个级别的授权服务器的多个解析器。例如,对www.infoq.com的请求,首先是根服务器,然后再查询.com的顶级域名(TLD)服务器,最后查询infoq.com的授权服务器。整个过程中的解析器可能会缓存结果,以便更快地进行后续响应。缓存可以由DNS响应中的生存时间(TTL)值控制。针对infoq.com授权服务器的DDoS攻击可能使得这些授权服务器无法响应有效查询,并且最终导致整个网站无法访问。

一般来说,DNS服务器冗余可以防止此类中断。也就是说任何商业DNS供应商都将为一个既定域名提供多个DNS服务器。dig或drill命令可用于查看域名服务器记录(下面以infoq.com为例)。

但是,如果某个供应商遭到DDoS攻击,那么可能其所有的域名服务器都会受到影响。因此使用多个DNS供应商有助于解决这一问题。

要使用多个DNS供应商,必须允许编辑各个DNS供应商的域名服务器记录,以便所有记录都可以作为响应的一部分进行发送。另外,每个供应商都将拥有多个域名服务器,并且各供应商的所有域名服务器的顺序是打乱的。这样对一个供应商的失败请求会引起对另一个供应商的请求,而不是一直在尝试第一个供应商的所有其他域名服务器,因为这些服务器可能也是失效的。

确保DNS可靠性的其他方法还有Anycast,在这个方法中,多个域名服务器具有相同IP地址。进行DNS查询时,数据包被传送到最近的域名服务器。在失效的情况下,数据包由底层路由协议自动传送到最近的有效域名服务器。

设置正确的TTL非常重要,这样即使记录由服务于响应的中间服务器进行缓存,也可以实现发生故障时切换到辅助服务器。正如Stanhope在Velocity的演讲中所说,未来NetOps、DevOps、SecOps和SRE团队之间需要更多的协作来缓解这种攻击。

本文转自d1net(转载)

相关文章
|
4月前
|
域名解析 网络协议 安全
什么是DNS劫持攻击以及如何避免此类攻击
【10月更文挑战第28天】DNS劫持攻击是一种网络攻击方式,攻击者通过篡改用户的DNS设置,将合法网站的域名解析为恶意网站的IP地址,使用户在不知情的情况下访问钓鱼网站。攻击手段包括在用户系统植入恶意软件、利用路由器漏洞或破解DNS通信等。为防止此类攻击,应使用安全软件、定期检查DNS设置、重置路由器密码及避免访问不安全的网站。
410 2
|
2月前
|
云安全 人工智能 自然语言处理
|
25天前
|
存储 人工智能 安全
实时拦截攻击并响应威胁,聊聊服务器DDoS防御软件
实时拦截攻击并响应威胁,聊聊服务器DDoS防御软件
58 16
|
3月前
|
监控 负载均衡 安全
什么是DDoS攻击及如何防护DDOS攻击
通过上述防护措施,企业和组织可以构建全面的DDoS防护体系,有效抵御各类DDoS攻击,确保网络和服务的稳定运行。
402 10
|
4月前
|
存储 缓存 网络协议
如何防止DNS缓存中毒攻击(一)
DNS缓存中毒也称为DNS欺骗
83 10
|
4月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
124 2
|
4月前
|
数据采集 边缘计算 安全
高防CDN防御ddos攻击的效果怎么样
如在线购物、支付及娱乐。然而,随着企业价值和知名度提升,它们可能遭受竞争对手或黑客的DDoS攻击,即通过大量僵尸网络使目标服务器过载,导致服务中断,造成经济损失和声誉损害。针对这一挑战,天下数据推出的高防CDN不仅具备传统CDN的加速功能,还能有效抵御DDoS攻击,保护企业网络安全。
84 0
|
4月前
|
网络协议 安全 物联网
网络安全涨知识:基础网络攻防之DDoS攻击
网络安全涨知识:基础网络攻防之DDoS攻击
199 0
|
5月前
|
网络协议 安全 网络安全
如何识别DDOS攻击模式?
【10月更文挑战第12天】如何识别DDOS攻击模式?
166 18
|
5月前
|
监控 网络协议 网络安全
识别DDoS攻击
【10月更文挑战第12天】识别DDoS攻击
105 16

相关产品

  • 云解析DNS
  • 推荐镜像

    更多