国科云提供域名管理、域名锁、智能解析、DDI、IPv6转换、SSL证书等一站式域名解决方案,并形成以云解析、云监控、云盾、云服务器为核心的云计算产品服务体系。
分类: 网络与安全
2023-03-08 17:51:12
随着国际形势的日趋复杂以及网络技术的快速发展,网络安全问题日益凸显,而DNS作为网络互联中的导航系统内,其安全性是保障互联网环境安全稳定的关键因素。也正因此DNS的重要作用,以及DNS固有的先天缺陷,导致DNS很容易成为网络攻击目标。因此加强DNS系统的安全防护对于提升网络安全能力至关重要。
针对DNS的攻击主要分为DNS劫持和DDoS攻击两种。DNS劫持是指攻击者通过缓存投毒或修改NS记录等方式,用错误的解析数据替代正确的解析记录,从而将访客引导至受攻击者控制的站点,或者是不存在的站点。
与针对web服务器发动DDoS攻击一样,攻击者同样可以操纵分布全国的肉鸡对DNS解析服务器发动DDoS攻击。攻击者通过对DNS服务器管辖的域名发起超大流量的访问请求,就会形成对DNS服务器的频繁解析请求,从而在极短时间内耗尽DNS服务带宽,导致正常解析请求得不到响应,进而使得DNS服务器所管辖的所有域名解析都受到影响。2016年美国的“黑色星期五”事件,导致大半个美国“断网”,就是由于美国的DNS服务商Dyn遭遇大规模DDoS攻击所造成的。
传统的解析技术为了减轻DNS服务器压力,往往会设置较大的TTL值,这就给了攻击者可乘之机,利用DNS缓存进行投毒,实现DNS劫持的目的。而云解析DNS可支持低至秒级的TTL值,实现DNS缓存的快速更新,有效避免攻击者利用DNS缓存发动DNS劫持攻击。
针对web服务器发起的DDoS攻击,云解析可以通过负载均衡和健康监测,智能分配DDoS攻击,将流量引导至不同服务器,避免单个服务器抵挡不住攻击而瘫痪。而针对DNS服务器发动的DDoS攻击,云解析DNS可通过弹性带宽、流量清洗、DDoS防火墙等方式进行有效防御。
弹性带宽,与传统解析固定带宽不同,云解析DNS系统采用弹性带宽技术。在平时带宽维持在可供用户正常解析范围内,当遭受DDoS攻击时,云解析DNS的带宽会瞬间放大,避免DDoS攻击流量将带宽占满,影响正常解析。
流量清洗,传统解析在面对DDoS攻击时,往往仅凭自身带宽去硬抗,而云解析DNS则可以通过特定的网络流量算法,精准识别正常请求和恶意攻击流量,并对恶意流量进行及时清洗。
DDoS防火墙,云解析DNS配备有专业的DDoS防火墙,可以有效防御DDoS,UDP Flood,ICMP,IGMP,SYN Flood,ARP攻击,非TCP/IP协议层攻击等其他多种的未知攻击。
综合来看,云解析DNS相比传统解析技术,其所具有的负载均衡、宕机切换、弹性带宽、流量清洗等特点,可以有效提升DNS系统的安全防护能力,应对日益复杂的网络安全风险。