【阿里云资讯】阿里云首席安全研究员吴翰清解读:如何保护“互联网心脏”DNS

本文涉及的产品
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
简介: 2016年10月21日北京时间19点11分,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务。很多人质疑,一个名不见经传的DNS怎么会掀起如此大浪?阿里云首席安全评论员吴翰清解读:DNS是互联网心脏,也是不少企业安全的短板。今天我们就来谈谈如何保障DNS的“健康”。

如何保护“互联网心脏”DNS

2016年10月21日北京时间19点11分,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务,最终影响了包括Twitter丶Spotify丶Netflix丶Airbnb丶Github、Reddit以及纽约时报在内的美国绝大多数网站。

4f932412faf2580c8d22055d0286117ac5e6ff13

标红为美东地区无法访问的区域

很多人质疑,一个名不见经传的DNS怎么会掀起如此大浪?阿里云首席安全评论员吴翰清解读:DNS是互联网心脏,也是不少企业安全的短板。这场由DNS引发的瘫痪事件未波及到国内,但敲响了所有企业的安全警钟。试想,一个人心脏有状况会是什么局面?今天我们就来谈谈如何保障DNS的“健康”。

什么是DNS?

位于美国新罕布什尔州曼彻斯特市的Dyn是美国主要域名服务器(DNS)供应商。域名,网友访问互联网的起点和入口,也是全球互联网通信的基础。DNS作为承载全球亿万域名正常使用的系统,则是互联网重要的基础设施。

罪魁祸首到底是谁?

造成本次大规模网络瘫痪的原因是Dyn公司的服务器遭到了DDoS攻击。DDoS攻击又称为拒绝服务攻击。最基本的DDoS就是黑客利用合理的服务请求去占用尽可能多的服务资源,从而使得用户无法得到服务响应。当DDoS攻击Dyn公司,很多网友正常的DNS查询请求无法完成,用户也就无法通过域名访问Twitter、GitHub等站点了。

80778ca15bcec589443b149410a56ca130a6a2f4

DNS引发的网络瘫痪离我们有多远?

不止在美国,国内也曾遇到多起DNS瘫痪引发的“惨案”。2014年1月21日大陆境内发生最为严重DNS故障。所有通用顶级域(.com/.net/.org)遭到DNS污染。所有的域名全被指向了位于美国的一个IP地址(65.49.2.178)。有网站报道:当前,国内黑客攻击已经形成产业链。互联网上充斥着大量的攻击工具和木马,给攻击者制造了便利。一些黑客甚至明码标价。比如,打1G的流量到一个网站一小时,网上报价只需50块钱。黑客掌握攻击“武器”之后,通常受利益驱动,或主动或受雇佣,去攻击一些高盈利行业。比如金融、游戏行业。

万物互联安全风险已来?

3ee42944c3652335cf59c71c36b10bcb37511139

国外媒体报道,针对IoT设备的僵尸网络或许是发起本次DDoS攻击的重要来源。互联网骨干服务Level 3 Communications公司首席安全官表示,被Mirai感染的设备中,约有10%参与了本次DDoS攻击。随着万物互联,吴翰清认为,物联网必将引发大量网络安全问题。而刚刚过去这场“黑色星期五”只是未来安全问题的一个缩影。目前互联网感染僵尸木马的iot设备约在60万左右,这些设备如果一起攻击,可以轻松发起接近1T(相当于中国一个省流量)的攻击。“普通企业已经不具备能力与攻击者对抗。”吴翰清说。

如何避免CDN引发的网络瘫痪

美国Dyn公司向用户提供了DNS的托管和解析服务,作为互联网的基础设施之一。DNS遭受攻击后的影响非常大。在中国,阿里云为用户也提供DNS的托管服务。

5f91889446b64becf0630096450ecd1c433c9246

阿里云将云解析集成进高防业务,利用云计算的弹性扩展特性来提升DNS的解析能力,并在网络访问到网站访问之间建立了全链路安全体系。阿里云DNS服务器集群的峰值防御能力为:300G+,5亿QPS(每秒查询率)。同时,在全球布暑7大BGP(边界网关协议)机房,访问数据秒生效,能保证世界各地不同区域的用户的访问需求。

阿里云:世界级的安全能力

每天,阿里云帮助中国大陆37%的网站,成功抵御8亿次攻击。每天,阿里云识别并防御来自35000个恶意IP的攻击,防御2000次DDoS攻击,2亿次密码暴力破解和2000万次Web攻击。在刚刚过去的2016年杭州G20峰会期间,阿里云提供了大量专业的安全护航服务,保障G20官网以及浙江省内政务、民生类网站稳定传递资讯。其中,阿里云云盾DDoS防护系统成功防护DDoS攻击近3万次,防御最高峰值达439.7 Gbps;Web应用防火墙在G20期间成功防御超过1亿次攻击,包括SQL注入、XSS、代码执行等恶意攻。


本文转载自 阿里云微信公众号 Alibaba-Cloud

相关文章
|
20天前
|
机器学习/深度学习 Java API
阿里云文档智能解析——大模型版能力最佳实践与体验评测
阿里云文档智能解析(大模型版)在处理非结构化数据方面表现优异,尤其是在性能和可扩展性上具有明显优势。虽然存在一些待完善之处,但其强大的基础能力和广泛的适用场景使其成为企业数字转型过程中的有力助手。随着技术的不断进步和完善,相信它会在更多领域展现出更大的价值。
64 5
阿里云文档智能解析——大模型版能力最佳实践与体验评测
|
10天前
|
文字识别 算法 API
阿里云文档解析(大模型版)优化
阿里云文档解析(大模型版
|
2月前
|
弹性计算 负载均衡 数据库
阿里云轻量应用服务器全面解析:收费标准、产品优势及适用场景
在云计算领域,阿里云凭借其强大的技术实力和丰富的产品线,为用户提供了一系列高效、便捷的云服务器产品。其中,轻量应用服务器(Simple Application Server)作为面向个人开发者、中小企业等用户的入门级云产品,凭借其易用性、高性价比以及一站式服务体验,受到了广泛的欢迎。本文将全面解析阿里云轻量应用服务器的收费标准、产品优势以及适用场景,帮助用户更好地了解和选择这一产品。
阿里云轻量应用服务器全面解析:收费标准、产品优势及适用场景
|
1月前
|
弹性计算 开发框架 数据可视化
阿里云虚拟主机和云服务器有什么区别?多角度全解析对比
阿里云虚拟主机与云服务器ECS的主要区别在于权限与灵活性。虚拟主机简化了网站搭建流程,预装常用环境,适合初级用户快速建站;而云服务器提供全面控制权,支持多样化的应用场景,如APP后端、大数据处理等,更适合具备技术能力的用户。尽管虚拟主机在价格上通常更优惠,但随着云服务器价格的下降,其性价比已超越虚拟主机,成为更具吸引力的选择。
|
2月前
|
区块链 C# 存储
链动未来:WPF与区块链的创新融合——从智能合约到去中心化应用,全方位解析开发安全可靠DApp的最佳路径
【8月更文挑战第31天】本文以问答形式详细介绍了区块链技术的特点及其在Windows Presentation Foundation(WPF)中的集成方法。通过示例代码展示了如何选择合适的区块链平台、创建智能合约,并在WPF应用中与其交互,实现安全可靠的消息存储和检索功能。希望这能为WPF开发者提供区块链技术应用的参考与灵感。
46 0
|
2月前
|
安全 开发者 数据安全/隐私保护
Xamarin 的安全性考虑与最佳实践:从数据加密到网络防护,全面解析构建安全移动应用的六大核心技术要点与实战代码示例
【8月更文挑战第31天】Xamarin 的安全性考虑与最佳实践对于构建安全可靠的跨平台移动应用至关重要。本文探讨了 Xamarin 开发中的关键安全因素,如数据加密、网络通信安全、权限管理等,并提供了 AES 加密算法的代码示例。
36 0
|
2月前
|
存储 安全 程序员
|
2月前
|
网络协议 安全 网络安全
揭秘互联网的隐形斗篷:你的DNS数据真的安全吗?
【8月更文挑战第27天】在互联网中,每个网站通过IP地址定位,但记忆这些数字困难且存在安全风险。因此,域名系统(DNS)诞生,实现域名与IP之间的转换。然而,未加密的DNS请求易受中间人攻击,导致隐私泄露或恶意软件植入。为解决此问题,DNS-over-HTTPS(DoH)和DNS-over-TLS(DoT)协议应运而生,它们通过对DNS查询进行加密确保数据传输安全。本文将介绍这两种协议,并通过示例展示如何配置支持DoT的DNS服务器,包括安装dnscrypt-proxy、编辑配置文件及重启服务等步骤。
42 0
|
2月前
|
监控 网络协议 Java
Tomcat源码解析】整体架构组成及核心组件
Tomcat,原名Catalina,是一款优雅轻盈的Web服务器,自4.x版本起扩展了JSP、EL等功能,超越了单纯的Servlet容器范畴。Servlet是Sun公司为Java编程Web应用制定的规范,Tomcat作为Servlet容器,负责构建Request与Response对象,并执行业务逻辑。
Tomcat源码解析】整体架构组成及核心组件
|
2月前
|
存储 NoSQL Redis
redis 6源码解析之 object
redis 6源码解析之 object
56 6

相关产品

  • 云解析DNS
  • 推荐镜像

    更多
    下一篇
    无影云桌面