美国半个互联网瘫痪对开发者使用DNS的启发

版权声明：本文由腾讯云DNSPod团队原创文章，转载请注明出处: 
文章原文连接：https://www.qcloud.com/community/article/174

来源：腾云阁 https://www.qcloud.com/community

 

美国时间的10月21日清晨7点开始，美国Dynamic Network Service公司的DNS服务器遭受了大规模分布式拒绝式服务（DDos：Distributed Denial of Service）攻击，Dyn公司是美国的主要DNS服务商，DDos攻击致使Dyn的DNS解析服务瘫痪，用户没法解析到目标网站的IP地址，引发Twitter、Tumblr、Spotify、Airbnb、Github、PayPal等众多站点没法访问，美国国土安全局、FBI也开始调查此事。

来自智能设备的DDos攻击

DDos攻击是互联网中常见的一种攻击手段，黑客向某些服务器、我的PC、智能设备植入DDos攻击程序后，控制全部机器同一时间对目标网站发起流量攻击，被攻击的网站瞬间带宽被占用，正经常使用户则没法访问，这次Dyn公司遭受的攻击大量则来自物联网设备，平常生活中日益增多的智能设备，被黑客利用其中的安全漏洞做为DDos攻击中的肉鸡，攻击方式简单直接又野蛮粗暴，黑客做案成本低、门槛低，已经成为一条高度成熟的产业链。

各种型DNS服务的防攻击能力

目前国内提供域名受权解析服务主要的分为如下几种类型，每种类型都有各自的优缺点，这里主要谈论解析安全相关问题。

一.域名注册商附带DNS

受权DNS解析服务做为域名注册商的附带服务，通常只提供基本的解析服务，不会或不多提供附加服务，典型如新网、易名中国等，目前是主要存在如下特色。

• 域名DNS受到攻击时不能提供抗攻击服务。
• 稳定性难以保证，DNS解析服务常常出现异常。
• 域名鱼龙混杂，受攻击可能性很高，可能会影响正规域名的解析。
• 非核心业务，受重视程度不够，出现安全问题的响应不够及时。
• 解析服务器配置存在安全隐患，如开启域传送、any查询等，容易形成内部信息泄露或被利用做为反射放大攻击。
  企业和开发者们，若是是为重要的业务进行解析，尽可能不要选择这类型的DNS服务。

二.专业域名解析服务提供商

专一提供域名受权解析及相关服务的第三方企业，国内此类服务商腾讯云DNSPod、新万网解析、DNS.com、cloudxns等，此类企业由于专注性很高，因此针对DNS遇到的各种安全问题一般都有比较完善的解决方案，且有专业的DNS团队来解决突发的安全问题。
以腾讯云DNSPod为例，为近125万用户、1100万域名提供服务，日处理DNS请求超过350亿次，据统计，平均每日都会有超过30次的攻击，而且历经了各类类型的DNS攻击，因此针对DNS遇到的各种安全问题一般都有比较完善的解决方案，且有专业的DNS团队来解决突发的安全问题，下面介绍几个典型案例：

常规DDos攻击：2009年5.19断网

和此次Dyn攻击事件很是类似，当年因为暴风影音的DNS机制缺陷，解析失败会无限重试，并且全国装机量很是大，被DDos攻击后递归DNS失败，致使运营商DNS被压垮，南方大范围断网。
攻击类型：DNS FLOOD、SYN FLOOD等
首选策略：CNAME防御（主动探测）或IP重传（被动探测）
备选策略：IP限速、域名限速、黑名单等

DNS反射放大攻击：2013.3.19 欧洲反垃圾邮件组织Spamhaus攻击

攻击类型：ANY/TXT/MX等记录类型放大
首选策略：源端口过滤、源IP过滤/限速
备选策略：禁止any查询、黑名单等

递归DNS反射放大攻击：2014.12.10-12.12 国内递归DNS被大规模攻击

全国范围内的网络异常，攻击源有共同特征，包含大量物联网设备，和这次Dyn攻击事件的攻击源相似。
攻击类型：随机子域名方式
首选策略：域名响应限速、域名请求限速
备选策略：机器学习过滤随机域名、中止泛解析、源IP限速等

而且经过多年的防攻击历史经验，腾讯云DNSpood沉淀了丰富的技术方案：

• 自主研发第六代DNS服务器（DKDNS），辅以强大的Intel 82599EB 10GE网卡和DPDK开发套件，单机测试最高性能达到了1820万QPS，线上性能1100万QPS，并以8台服务器为一组组成了多个四层负载均衡集群，专制各类DDoS。
• 针对DDos攻击，创建了包括大带宽、大规模分布式部署、专用防御设备、多种针对性防御策略、高性能DNS服务处理程序在内的防御体系，针对同时多个域名攻击支持高达200G的域名攻击防御能力， 历史处理域名攻击峰值超过600G，针对单域名攻击的DDoS防御能力超过1T
• 宙斯盾防御系统全覆盖，并建立了多种专利防御算法，对不一样的攻击形式采用针对性的防御策略和算法

三.企业自建DNS

目前规模较大、资源充足的公司会选择自建DNS，仅供本公司业务使用，不会被其余域名的DNS攻击影响，目前BIND（Berkeley Internet Name Domain）是目前世界上应用最为普遍的开放源码的DNS服务器软件。
关注DNS安全的开发者可能已经了解到，近期DNS服务器软件BIND的CVE-2016-2776漏洞被发现会致使远程拒绝式服务（Dos：Denial of Service）攻击，上个月才得以修复，而利用该漏洞构建特定的访问却能致使BIND主进程的崩溃。因此自建DNS也有必定的安全风险，须要关注如下几点：

• 增长基础设施和安全设施的投入，增长带宽，部署更多的防御设备，以应对更大和更复杂的攻击。
• 有条件的尽可能开启DNSSEC支持，防止被劫持和修改
• 关闭域传送，防止内部解析信息泄露
• 使用开源解析软件的须要隐藏版本号和操做系统版本信息等，尽可能使用最新的稳定版本，减小受攻击的可能性。
• 各地运营商的递归DNS设置访问地区限制，减小被利用进行攻击的可能。
  然而关键仍然是有本身的DNS维护团队，进行专业的维护。

总结：DNS行业正在面临愈来愈严重的安全威胁，咱们应积极采起措施进行应对，最后，仍然是须要完善法律法规，并对进行攻击者加大打击力度，必要时进行法律制裁。