云解析大学第一期:DNS安全之道

简介: 11月29日云栖社区在线培训,云栖社区请来了阿里巴巴基础架构事业群技术专家宋毅给大家带来了DNS安全之道的讲解。本文主要从介绍云解析DNS开始,详细分析了DNS的总技术架构,接着分享了权威解析系统和安全解析系统,最后与大家介绍了云解析高级功能,包括基础解析和智能解析等。一起来了解下吧。
摘要:11月29日云栖社区在线培训,云栖社区请来了阿里巴巴基础架构事业群技术专家宋毅给大家带来了DNS安全之道的讲解。本文主要从介绍云解析DNS开始,详细分析了DNS的总技术架构,接着分享了权威解析系统和安全解析系统,最后与大家介绍了云解析高级功能,包括基础解析和智能解析等。一起来了解下吧。

 

直播视频回顾

 

云解析DNS是权威解析服务,完成域名到IP的翻译过程,围绕获取IP、得到IP访问的过程的一款云产品。

 

云解析DNS

DNS整个系统架构中,主要有递归DNS、权威DNS、最终用户三个角色,云解析是权威DNS。

云解析是域名解析环节的产品,重要性远远大于域名注册,域名解析关系到网站在运行过程中是否被攻击、攻击后能否正常恢复等问题。

云解析DNS依托阿里云全球机房基础设施及技术创新动力,助力权威域名解析服务平台化,让权威域名解析服务从网络访问到网站访问更安全更稳定更智能,成为可靠的访问基础设施和入口,真正的成为网络服务普惠科技平台,成就用户完美访问。

云解析优势

云解析DNS有四大特点:稳定可靠、安全保障、智能解析、全球部署。

随着互联网的高速发展,个人数据和企业业务逐渐线上化,域名解析作为网站访问的源头和入口,关系到网站的访问的稳定性、安全性和高效性。

用户在处理企业业务和个人数据时,会遇到许多与云解析相关的头疼问题,比如:

1)网络攻击

2)解析服务失败

3)解析记录篡改

4)解析数据不一致

5)访问劫持

解决这些问题是有较高的专业门槛和成本投入,对大多数个人和企业很难解决但又无法不去面对的。

 

总技术架构

69c4fe4e4ccc0a4d44ac0f38bd9f64b7ab35a91a

权威解析系统总体架构如图,现在的网络程序都是管控层和解析层分离,整套系统具有高效稳定的数据平面+灵活强大的控制平面,数据平面是由全球很多的解析服务器组成的,解析服务器出口是我们自研的SecurityDNS系统,它会将进入/流出DNS服务器集群的流量做清洗。

ADNS服务器在华南部署了两套,整个DNS系统的容灾切换分成两大部分,一是DNS系统本身的容灾切换,这个由阿里云云解析完成,通过热备方式进行切换;一是域名对应的A记录,如果A记录指向的服务器宕机,可以把A记录服务器的IP地址切换到另一台服务器,阿里云提供了一些接口供用户调用,嵌入到自动化容灾程序中。

 

权威解析系统

ADNS基于dpdk框架,优化了整个软硬件协议栈,用经过优化的x86服务器,配上完全自主研发的ADNS软件,采用巧妙的内存数据结构设计,精确地调整每个内核对内存或CPU cache的访问效率,完美解决了困扰业界的C10M问题。ADNS是一个高性能、可扩展的DNS权威服务器。

ADNS+ADMS是完全自主研发的DNS权威服务器系统。其可以做到以下几点:

  • 单机性能和容量超开源软件BIND 100倍;
  • 性能超过1000万qps(经过软硬件优化,可达到4000万qps);
  • 容量可存储超过2000万域名(可随内存增长而线性增长);
  • 设计目标99.9999%的高可用性,上线以来,实际不可用时间为0;
  • 提供友好的API给用户,把复杂的智能解析逻辑包裹在内。

 

安全防护系统

事件回顾

DNS攻击非常常见,门槛低,最近八年来国内外爆发的影响较大的DNS安全事件如下:

  • 2009年5月19日南方六省断网事件。游戏私服私斗打挂DNSPod,殃及暴风影音域名解析,进一步殃及电信运营商本地DNS服务器,从而爆发六省大规模断网的事故。
  • 2010年1月12日百度域名劫持事件。baidu.com的NS记录被伊朗网军(Iranian Cyber Army)劫持,然后导致www.baidu.com无法访问。事件持续时间8小时。
  • 2011年9月5日,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了DNS劫持。
  • 2012年2月16日,黑客组织匿名者(Anonymous)对外宣称,将在3月31日攻击DNS的13个根服务器,以达到让全球互联网瘫痪的目的。
  • 2013年8月25日CN域被攻击事件。cn域DNS受到DDoS攻击而导致所有cn域名无法解析。
  • 2014年1月21日全国DNS故障。迄今为止,大陆境内发生的最为严重的DNS故障,所有通用顶级域(.com/.net/.org)遭到DNS污染。
  • 2014年12月10日,爆发了运营商DNS网络DDoS攻击事件。16个省的网站访问出现异常。
  • 2015年11月30日DNS根服务器攻击事件。13个根服务器大都受到了攻击,攻击者对根服务器发起了针对两个特定域名的数十亿次无效查询请求。
  • 2015年12月14日土耳其国家域遭攻击。黑客组织匿名者(Anonymous)宣布自己是40Gbps DDoS的网络攻击发起人,并表示该攻击跟反ISIS行动相关。
  • 2016年9月21日,世界最大的主机托管提供商OVH、遭1Tb流量总计高达1Tbps,最大的单次攻击峰值近 800 Gbps。
  • 2016年10月21日,解析运营商DynDNS被攻击,导致欧美大量使用相关DNS的网站遭遇访问问题其中包括Twitter等知名网站。

系统架构

d75950835d2ef702a12c1db4f2edc4db5a23e72a

整个架构是由阿里巴巴分布在全球的清洗中心构成的,依托阿里巴巴在全球的清洗实力,我们将进入到DNS机房的流量进行清洗,通过一套内部的算法去辨别哪些请求是攻击、哪些是正常请求。

阿里云云解析前身是有着悠久历史的万网,在多年的发展中赢得了很多客户的信任。发展到现在,云解析在国内市场占有率达到30%多,共托管了1000+万个域名,可以承受10+亿QPS请求量,我们还在全球部署了7个BGP机房,开放了40+个API接口。

 

云解析高级功能

基础解析

基础解析支持域名海外IP解析,支持A、AAAA、MX、CNAME、TXT、NS、URL转发、SRV所有主流的类型,支持最小1秒的TTL值,子域名级别可以扩展到10级,支持最高90条A记录负载均衡。

智能解析

智能解析支持国内各大运营商的线路;支持海外大洲国家/地区的线路;支持搜索引擎线路。

OpenAPI

b5baadd47445f430aab1ba50c9eeef17a5cad4d3

API和相应的SDK,支持对域名所有信息的增删改查,方便用户从其它云解析提供商倒到我们这边来,SDK支持Java/Python/PHP/C#开发语言。

安全

388f2fac952e330a511e53ec1b2d4b9ef6ca8074

安全方面如图所示,云解析提供包括最基础的DNS防护DDoS攻击、DDoS高防IP、服务器安全以及Web应用防火墙等功能,可以为客户提供一站式的安全解决方案。


1. .com/.cn域名+6元即享云解析,限时抢购 链接:https://wanwang.aliyun.com/domain/dnsanddomain

 

2. 云解析+建站模板组合购9元限时抢 链接:https://market.aliyun.com/tpldns

 

相关文章
|
2月前
|
域名解析 存储 网络协议
域名解析的终极指南:从基础到进阶,彻底搞懂 DNS 记录
域名解析是网站运行的基础,正确配置DNS记录至关重要。本文从基础到进阶全面解析DNS知识,涵盖A、AAAA、CNAME、MX、TXT、CAA等常见记录类型及其应用场景。通过学习,你将了解DNS的工作原理,掌握如何优化域名配置,确保网站与邮件服务高效运行。无论搭建个人博客还是企业官网,本文都能助你轻松搞定域名解析!
495 0
|
24天前
|
域名解析 网络协议 网络安全
SSL证书验证全攻略:DNS/HTTP/手动解析怎么选?
SSL证书在网络安全中至关重要,1Panel提供三种验证方式:DNS验证、HTTP验证和手动解析。DNS验证便捷,适合CDN网站;HTTP验证快速,需服务器在线;手动解析灵活,但操作复杂。根据需求选择合适确认方式,定期检查证书状态。
261 2
|
3月前
|
域名解析 存储 缓存
深入学习 DNS 域名解析
在平时工作中相信大家都离不开 DNS 解析,因为 DNS 解析是互联网访问的第一步,无论是使用笔记本浏览器访问网络还是打开手机APP的时候,访问网络资源的第一步必然要经过DNS解析流程。
|
1月前
|
网络协议 安全 Linux
阿里云服务器国际站dns服务器不可用怎么办?dns可以随便改吗?
阿里云服务器国际站dns服务器不可用怎么办?dns可以随便改吗?
|
4月前
|
负载均衡 网络协议 容灾
【飞天技术沙龙】云解析 DNS 上海站《多云+IDC 融合场景下的 DNS 最佳实践》圆满落幕
【飞天技术沙龙】云解析 DNS 上海站《多云+IDC 融合场景下的 DNS 最佳实践》圆满落幕
|
6月前
|
域名解析 负载均衡 安全
DNS技术标准趋势和安全研究
本文探讨了互联网域名基础设施的结构性安全风险,由清华大学段教授团队多年研究总结。文章指出,DNS系统的安全性不仅受代码实现影响,更源于其设计、实现、运营及治理中的固有缺陷。主要风险包括协议设计缺陷(如明文传输)、生态演进隐患(如单点故障增加)和薄弱的信任关系(如威胁情报被操纵)。团队通过多项研究揭示了这些深层次问题,并呼吁构建更加可信的DNS基础设施,以保障全球互联网的安全稳定运行。
|
7月前
|
机器学习/深度学习 人工智能 安全
TPAMI:安全强化学习方法、理论与应用综述,慕工大、同济、伯克利等深度解析
【10月更文挑战第27天】强化学习(RL)在实际应用中展现出巨大潜力,但其安全性问题日益凸显。为此,安全强化学习(SRL)应运而生。近日,来自慕尼黑工业大学、同济大学和加州大学伯克利分校的研究人员在《IEEE模式分析与机器智能汇刊》上发表了一篇综述论文,系统介绍了SRL的方法、理论和应用。SRL主要面临安全性定义模糊、探索与利用平衡以及鲁棒性与可靠性等挑战。研究人员提出了基于约束、基于风险和基于监督学习等多种方法来应对这些挑战。
224 2
|
7月前
|
域名解析 缓存 网络协议
浏览器中输入URL返回页面过程(超级详细)、DNS域名解析服务,TCP三次握手、四次挥手
浏览器中输入URL返回页面过程(超级详细)、DNS域名解析服务,TCP三次握手、四次挥手
|
3月前
|
算法 测试技术 C语言
深入理解HTTP/2:nghttp2库源码解析及客户端实现示例
通过解析nghttp2库的源码和实现一个简单的HTTP/2客户端示例,本文详细介绍了HTTP/2的关键特性和nghttp2的核心实现。了解这些内容可以帮助开发者更好地理解HTTP/2协议,提高Web应用的性能和用户体验。对于实际开发中的应用,可以根据需要进一步优化和扩展代码,以满足具体需求。
356 29
|
3月前
|
前端开发 数据安全/隐私保护 CDN
二次元聚合短视频解析去水印系统源码
二次元聚合短视频解析去水印系统源码
108 4

相关产品

  • 云解析DNS
  • 推荐镜像

    更多
  • DNS