攻击从200w到4000w QPS, 我选择了这样的DNS应对方式…….

2017-01-24 17:03 稿源:用户投稿  0条评论

今年以来,DNS攻击事件与日俱增,攻击力和造成的损失都十分很惊人。黑客打垮DNS服务能够间接打垮一家公司的全部业务,甚至打垮一个地区的网络服务,让不少企业厂商都心有余悸。

不久前,某企业的DNSQuery查询攻击持续两周,期间最大流量从200wQPS 到400wQPS再到4000wQPS,查询攻击数量持续大幅度地提升。针对短期内野蛮生长的DNS攻击,此企业做出了一连串的防御措施,帝恩思有幸参与其中,总结了整个过程并分享给广大用户,给大家提供一些参考。

(以下为语音实录整理)

1月份的时候,我公司的网站突然出现了大量的查询请求数,差不多是200万的QPS。当时我同时购买了阿里云和帝恩思家的域名解析和防护,并借此对比了一下两家的防护效果。

当查询请求数最大流量达 400万QPS的时候,超过了(阿里的)套餐防护值,阿里就直接封掉了我的域名。当涉及到升级更高版本,支付成本也会增多的时候,我就去市面上查看那些知名DNS安全厂商,以便做好下一步选择。

l  DNSPOD

DNSPOD口碑不错,DNSPOD官网号称域名攻击最高防护量达200万QPS,DNS防护流量是200G。而我所受的攻击早就超过了DNSPOD安全阈值,当时就没选择dnspod做试用防护。

l  阿里云DNS      

阿里云云解析DNS的特点主要在于较多的云 DNS 集群节点,用户可独享多线BGP,其提供的最高100G防护流量,免受攻击带来的影响,但需要购买较高版本套餐,一旦攻击值超过防护值,阿里就给封了。

l  帝恩思

原来的51dns发展来的,官网上说域名解析服务具有500G超强防护能力,当时也是攻击值超过了防护值给封掉了,联系他们客服才给解封,后来他们客服服务态度不错,不管攻击值多高,也没封掉域名,还挺感谢他们帮忙防护的。

l  360DNS

号称云dns集群+高防dns+智能dns服务标准,自主研发的云dns集群技术,无限制dns服务器数量,能够自动判断线路附近服务,精心挑选每个dns服务器,拥有超强的抗查询攻击能力,有效抵御DDOS攻击等各种查询攻击。(没找到用户使用心得)

此时网站攻击值与日俱增,已经持续了快2周时间,从后台数据报表看最大的查询请求数达 4000万QPS。我们的CTO将 TTL设置为24小时,也就是说可以在缓存中查询到24小时网站的内容,可以暂缓本地用户的正常访问。

与此同时,我们不得不采取多家高防厂商的dns解析抗D。从目前的状况来看测试了阿里云DNS、帝恩思、360DNS三家,三家轮转,互为灾备。但有个问题存在——当某一家安全厂商攻防不住的时候,但又由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误。黑客达到搞垮网站的目的,造成企业的损失。

还有递归服务器的问题,如果查询请求数特别大的时候,运营商为了缓解他的服务器的压力,还是会把我的域名封掉,这样网站依旧是打不开。

所以唯一的办法是,全部切换到一家DNS安全厂商上去。

我们技术团队商讨对比了这三家厂商服务和产品,最终选择了帝恩思。无他,因为这次攻击中,帝恩思这个企业是唯一一家真的用心的企业,因为帝恩思的客服会实时与我们沟通攻击状况和解决方案,以确保我们的网站能够正常访问。

鉴别一家好的安全厂商,就只有一条标准,就是能确保我的网站能够稳定访问。

梳理了上述事件的经过,小编深有感悟,原来对于用户来说,其实需求很简单,只要用心处理用户的问题,最大程度保障用户需求,就能得到他们的认可和信任。 “帝恩思在此次事件中展现的技术的硬实力,一对一的及时有效的服务,专业的解决方案,在同行业中都是首选。”千万句的自吹自擂,不如用户一句中肯的评价来的热泪盈眶。

不过,作为一家以技术立足的企业,还是要从理性的角度分析下此类攻击事件的防御原理,整理出一套具有借鉴意义的应对之策——

最大查询请求数达 200W QPS时,应对方案:

选择两家技术过硬,排名靠前的DNS安全厂商,这样可以选择一家作为灾备。

此次客户选择的是 帝恩思和阿里云。

最大查询请求数达400W QPS时,应对方案:

升级防御,选择抗攻击能力强的DNS安全厂商,增至三家。当最大查询请求数达400W QPS时,已经达到某些DNS安全厂商的最大阈值,所以审慎考虑。

此次客户选择的是 帝恩思、阿里云、360。

最大查询请求数 4000W QPS时,应对方案:

TTL 设置24小时,切换到一家最好的DNS安全厂商(从技术、服务和解决方案角度考虑)

TTL 设置24小时,即便网站不运行在缓存中可查询到24小的网站的内容,但三家做灾备涉及防御轮转,当某一家安全厂商攻防不住的时候,网站可以正常运转,但由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误,黑客达到搞垮网站的目的,造成了企业的损失。

 此次客户选择的是 帝恩思!

企业的安全防护是一段严谨而务实的征程,面对越来越高频的黑客攻击,不仅产品的技术功能面临更严峻的挑战,并且对于一线人员的服务意识与服务能力提出更高的要求。一件切实服务的案例,抵过千万句空口承诺,我们为之保驾护航的客户,会用脚做出他们自己的选择。

原理:DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。

本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

有好的文章希望站长之家帮助分享推广,猛戳这里我要投稿

相关文章

相关热点

查看更多