【阿里云资讯】阿里云首席安全研究员吴翰清解读:如何保护“互联网心脏”DNS

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 2016年10月21日北京时间19点11分,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务。很多人质疑,一个名不见经传的DNS怎么会掀起如此大浪?阿里云首席安全评论员吴翰清解读:DNS是互联网心脏,也是不少企业安全的短板。今天我们就来谈谈如何保障DNS的“健康”。

如何保护“互联网心脏”DNS

2016年10月21日北京时间19点11分,美国DNS服务提供商Dyn遭受大规模DDoS攻击,导致诸多网站停止服务,最终影响了包括Twitter丶Spotify丶Netflix丶Airbnb丶Github、Reddit以及纽约时报在内的美国绝大多数网站。

4f932412faf2580c8d22055d0286117ac5e6ff13

标红为美东地区无法访问的区域

很多人质疑,一个名不见经传的DNS怎么会掀起如此大浪?阿里云首席安全评论员吴翰清解读:DNS是互联网心脏,也是不少企业安全的短板。这场由DNS引发的瘫痪事件未波及到国内,但敲响了所有企业的安全警钟。试想,一个人心脏有状况会是什么局面?今天我们就来谈谈如何保障DNS的“健康”。

什么是DNS?

位于美国新罕布什尔州曼彻斯特市的Dyn是美国主要域名服务器(DNS)供应商。域名,网友访问互联网的起点和入口,也是全球互联网通信的基础。DNS作为承载全球亿万域名正常使用的系统,则是互联网重要的基础设施。

罪魁祸首到底是谁?

造成本次大规模网络瘫痪的原因是Dyn公司的服务器遭到了DDoS攻击。DDoS攻击又称为拒绝服务攻击。最基本的DDoS就是黑客利用合理的服务请求去占用尽可能多的服务资源,从而使得用户无法得到服务响应。当DDoS攻击Dyn公司,很多网友正常的DNS查询请求无法完成,用户也就无法通过域名访问Twitter、GitHub等站点了。

80778ca15bcec589443b149410a56ca130a6a2f4

DNS引发的网络瘫痪离我们有多远?

不止在美国,国内也曾遇到多起DNS瘫痪引发的“惨案”。2014年1月21日大陆境内发生最为严重DNS故障。所有通用顶级域(.com/.net/.org)遭到DNS污染。所有的域名全被指向了位于美国的一个IP地址(65.49.2.178)。有网站报道:当前,国内黑客攻击已经形成产业链。互联网上充斥着大量的攻击工具和木马,给攻击者制造了便利。一些黑客甚至明码标价。比如,打1G的流量到一个网站一小时,网上报价只需50块钱。黑客掌握攻击“武器”之后,通常受利益驱动,或主动或受雇佣,去攻击一些高盈利行业。比如金融、游戏行业。

万物互联安全风险已来?

3ee42944c3652335cf59c71c36b10bcb37511139

国外媒体报道,针对IoT设备的僵尸网络或许是发起本次DDoS攻击的重要来源。互联网骨干服务Level 3 Communications公司首席安全官表示,被Mirai感染的设备中,约有10%参与了本次DDoS攻击。随着万物互联,吴翰清认为,物联网必将引发大量网络安全问题。而刚刚过去这场“黑色星期五”只是未来安全问题的一个缩影。目前互联网感染僵尸木马的iot设备约在60万左右,这些设备如果一起攻击,可以轻松发起接近1T(相当于中国一个省流量)的攻击。“普通企业已经不具备能力与攻击者对抗。”吴翰清说。

如何避免CDN引发的网络瘫痪

美国Dyn公司向用户提供了DNS的托管和解析服务,作为互联网的基础设施之一。DNS遭受攻击后的影响非常大。在中国,阿里云为用户也提供DNS的托管服务。

5f91889446b64becf0630096450ecd1c433c9246

阿里云将云解析集成进高防业务,利用云计算的弹性扩展特性来提升DNS的解析能力,并在网络访问到网站访问之间建立了全链路安全体系。阿里云DNS服务器集群的峰值防御能力为:300G+,5亿QPS(每秒查询率)。同时,在全球布暑7大BGP(边界网关协议)机房,访问数据秒生效,能保证世界各地不同区域的用户的访问需求。

阿里云:世界级的安全能力

每天,阿里云帮助中国大陆37%的网站,成功抵御8亿次攻击。每天,阿里云识别并防御来自35000个恶意IP的攻击,防御2000次DDoS攻击,2亿次密码暴力破解和2000万次Web攻击。在刚刚过去的2016年杭州G20峰会期间,阿里云提供了大量专业的安全护航服务,保障G20官网以及浙江省内政务、民生类网站稳定传递资讯。其中,阿里云云盾DDoS防护系统成功防护DDoS攻击近3万次,防御最高峰值达439.7 Gbps;Web应用防火墙在G20期间成功防御超过1亿次攻击,包括SQL注入、XSS、代码执行等恶意攻。


本文转载自 阿里云微信公众号 Alibaba-Cloud

目录
打赏
0
0
0
0
4868
分享
相关文章
|
5天前
|
CDN
阿里云CDN怎么收费?看这一篇就够了,CDN不同计费模式收费价格全解析
阿里云CDN的费用由基础费用和增值费用组成。基础费用有三种计费方式:按流量、按带宽峰值和月结95带宽峰值,默认为按流量计费,价格根据使用量阶梯递减。增值费用包括静态HTTPS请求、QUIC请求等,按实际使用量收费,不使用不收费。具体收费标准和详细规则可参考阿里云官方页面。
智能文件解析:体验阿里云多模态信息提取解决方案
在当今数据驱动的时代,信息的获取和处理效率直接影响着企业决策的速度和质量。然而,面对日益多样化的文件格式(文本、图像、音频、视频),传统的处理方法显然已经无法满足需求。
78 4
智能文件解析:体验阿里云多模态信息提取解决方案
|
15天前
|
深入解析操作系统控制台:阿里云Alibaba Cloud Linux(Alinux)的运维利器
本文将详细介绍阿里云的Alibaba Cloud Linux操作系统控制台的功能和优势。
40 5
探索阿里云 Flink 物化表:原理、优势与应用场景全解析
阿里云Flink的物化表是流批一体化平台中的关键特性,支持低延迟实时更新、灵活查询性能、无缝流批处理和高容错性。它广泛应用于电商、物联网和金融等领域,助力企业高效处理实时数据,提升业务决策能力。实践案例表明,物化表显著提高了交易欺诈损失率的控制和信贷审批效率,推动企业在数字化转型中取得竞争优势。
103 16
DNS技术标准趋势和安全研究
本文探讨了互联网域名基础设施的结构性安全风险,由清华大学段教授团队多年研究总结。文章指出,DNS系统的安全性不仅受代码实现影响,更源于其设计、实现、运营及治理中的固有缺陷。主要风险包括协议设计缺陷(如明文传输)、生态演进隐患(如单点故障增加)和薄弱的信任关系(如威胁情报被操纵)。团队通过多项研究揭示了这些深层次问题,并呼吁构建更加可信的DNS基础设施,以保障全球互联网的安全稳定运行。
深入解析CDN技术:加速互联网内容分发的幕后英雄
内容分发网络(CDN)是现代互联网架构的重要组成部分,通过全球分布的服务器节点,加速网站、应用和多媒体内容的传递。它不仅提升了访问速度和用户体验,还减轻了源站服务器的负担。CDN的核心技术包括缓存机制、动态加速、流媒体加速和安全防护,广泛应用于静态资源、动态内容、视频直播及大文件下载等场景,具有低延迟、高带宽、稳定性强等优势,有效降低成本并保障安全。
87 4
阿里云云安全中心全面解析
阿里云云安全中心作为一款集持续监测、深度防御、全面分析、快速响应能力于一体的云上安全管理平台,为企业提供了全方位的安全保障。本文将详细介绍阿里云云安全中心的功能、应用场景、收费标准以及购买建议,帮助您更好地了解和利用这一强大的安全工具。
阿里云云安全中心全面解析
阿里云GPU服务器全解析_GPU价格收费标准_GPU优势和使用说明
阿里云GPU云服务器提供强大的GPU算力,适用于深度学习、科学计算、图形可视化和视频处理等场景。作为亚太领先的云服务商,阿里云GPU云服务器具备高灵活性、易用性、容灾备份、安全性和成本效益,支持多种实例规格,满足不同业务需求。
559 2
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
121 2
【23种设计模式·全精解析 | 创建型模式篇】5种创建型模式的结构概述、实现、优缺点、扩展、使用场景、源码解析
创建型模式的主要关注点是“怎样创建对象?”,它的主要特点是"将对象的创建与使用分离”。这样可以降低系统的耦合度,使用者不需要关注对象的创建细节。创建型模式分为5种:单例模式、工厂方法模式抽象工厂式、原型模式、建造者模式。
【23种设计模式·全精解析 | 创建型模式篇】5种创建型模式的结构概述、实现、优缺点、扩展、使用场景、源码解析

相关产品

  • 云解析DNS
  • 推荐镜像

    更多