X
广告
首页 > 传媒 > 关键词  > DNS最新资讯  > 正文

攻击从200w到4000w QPS, 我选择了这样的DNS应对方式…….

2017-01-24 17:03 · 稿源:站长之家用户

今年以来,DNS攻击事件与日俱增,攻击力和造成的损失都十分很惊人。黑客打垮DNS服务能够间接打垮一家公司的全部业务,甚至打垮一个地区的网络服务,让不少企业厂商都心有余悸。

不久前,某企业的DNSQuery查询攻击持续两周,期间最大流量从200wQPS 到400wQPS再到4000wQPS,查询攻击数量持续大幅度地提升。针对短期内野蛮生长的DNS攻击,此企业做出了一连串的防御措施,帝恩思有幸参与其中,总结了整个过程并分享给广大用户,给大家提供一些参考。

(以下为语音实录整理)

1月份的时候,我公司的网站突然出现了大量的查询请求数,差不多是200万的QPS。当时我同时购买了阿里云和帝恩思家的域名解析和防护,并借此对比了一下两家的防护效果。

当查询请求数最大流量达 400万QPS的时候,超过了(阿里的)套餐防护值,阿里就直接封掉了我的域名。当涉及到升级更高版本,支付成本也会增多的时候,我就去市面上查看那些知名DNS安全厂商,以便做好下一步选择。

l DNSPOD

DNSPOD口碑不错,DNSPOD官网号称域名攻击最高防护量达200万QPS,DNS防护流量是200G。而我所受的攻击早就超过了DNSPOD安全阈值,当时就没选择dnspod做试用防护。

l 阿里云DNS

阿里云云解析DNS的特点主要在于较多的云 DNS 集群节点,用户可独享多线BGP,其提供的最高100G防护流量,免受攻击带来的影响,但需要购买较高版本套餐,一旦攻击值超过防护值,阿里就给封了。

l 帝恩思

原来的51dns发展来的,官网上说域名解析服务具有500G超强防护能力,当时也是攻击值超过了防护值给封掉了,联系他们客服才给解封,后来他们客服服务态度不错,不管攻击值多高,也没封掉域名,还挺感谢他们帮忙防护的。

l 360DNS

号称云dns集群+高防dns+智能dns服务标准,自主研发的云dns集群技术,无限制dns服务器数量,能够自动判断线路附近服务,精心挑选每个dns服务器,拥有超强的抗查询攻击能力,有效抵御DDOS攻击等各种查询攻击。(没找到用户使用心得)

此时网站攻击值与日俱增,已经持续了快2周时间,从后台数据报表看最大的查询请求数达 4000万QPS。我们的CTO将 TTL设置为24小时,也就是说可以在缓存中查询到24小时网站的内容,可以暂缓本地用户的正常访问。

与此同时,我们不得不采取多家高防厂商的dns解析抗D。从目前的状况来看测试了阿里云DNS、帝恩思、360DNS三家,三家轮转,互为灾备。但有个问题存在——当某一家安全厂商攻防不住的时候,但又由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误。黑客达到搞垮网站的目的,造成企业的损失。

还有递归服务器的问题,如果查询请求数特别大的时候,运营商为了缓解他的服务器的压力,还是会把我的域名封掉,这样网站依旧是打不开。

所以唯一的办法是,全部切换到一家DNS安全厂商上去。

我们技术团队商讨对比了这三家厂商服务和产品,最终选择了帝恩思。无他,因为这次攻击中,帝恩思这个企业是唯一一家真的用心的企业,因为帝恩思的客服会实时与我们沟通攻击状况和解决方案,以确保我们的网站能够正常访问。

鉴别一家好的安全厂商,就只有一条标准,就是能确保我的网站能够稳定访问。

梳理了上述事件的经过,小编深有感悟,原来对于用户来说,其实需求很简单,只要用心处理用户的问题,最大程度保障用户需求,就能得到他们的认可和信任。 “帝恩思在此次事件中展现的技术的硬实力,一对一的及时有效的服务,专业的解决方案,在同行业中都是首选。”千万句的自吹自擂,不如用户一句中肯的评价来的热泪盈眶。

不过,作为一家以技术立足的企业,还是要从理性的角度分析下此类攻击事件的防御原理,整理出一套具有借鉴意义的应对之策——

最大查询请求数达 200W QPS时,应对方案:

选择两家技术过硬,排名靠前的DNS安全厂商,这样可以选择一家作为灾备。

此次客户选择的是 帝恩思和阿里云。

最大查询请求数达400W QPS时,应对方案:

升级防御,选择抗攻击能力强的DNS安全厂商,增至三家。当最大查询请求数达400W QPS时,已经达到某些DNS安全厂商的最大阈值,所以审慎考虑。

此次客户选择的是 帝恩思、阿里云、360。

最大查询请求数 4000W QPS时,应对方案:

TTL 设置24小时,切换到一家最好的DNS安全厂商(从技术、服务和解决方案角度考虑)

TTL 设置24小时,即便网站不运行在缓存中可查询到24小的网站的内容,但三家做灾备涉及防御轮转,当某一家安全厂商攻防不住的时候,网站可以正常运转,但由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误,黑客达到搞垮网站的目的,造成了企业的损失。

此次客户选择的是 帝恩思!

企业的安全防护是一段严谨而务实的征程,面对越来越高频的黑客攻击,不仅产品的技术功能面临更严峻的挑战,并且对于一线人员的服务意识与服务能力提出更高的要求。一件切实服务的案例,抵过千万句空口承诺,我们为之保驾护航的客户,会用脚做出他们自己的选择。

原理:DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • Facebook大规模服务中断事件调查:BGP与DNS服务器离线所致

    BGP 是“边界网关协议”的缩写,作为一套允许在互联网上的自治系统(AS)之间交换路由信息的机制,其在刚刚过去的 Facebook 大规模服务中断事件中也扮演了重要的角色。Cloudflare 指出,BGP 使得互联网上工作的大型路由器能够拥有庞大的、不断更新的可能路由列表,从而将各个挽留过数据包送达最终的目的地。(图自:Cloudflare)若缺乏 BGP,互联网路由器将不知如何正确工作。毕竟 Internet 的本意,就是在 BGP 绑定之下、一个套着

  • 移动云智能DNS云解析服务,秒级部署安全可靠

    2017年11月,国家印发《推进互联网协议第六版(IPv6)规模部署行动计划》,明确提出未来5到10年我国基于IPv6下一代互联网发展的总体目标、路线图、时间表和重点任务。河北易县人民政府积极响应国家要求,携手移动云推进政府网站IPv6的改造工作。要使用IPv6服务,首先需要DNS支持IPv6解析,移动云云解析产品,通过设置A或AAAA记录,实现网站域名到IP地址的智能权威解析,同时提供抗DDoS攻击能力,保证了访问线路的安全性,最终成功?

  • 黑客可以利用管理DNS服务供应商的漏洞来监视公司和组织的内部流量

    据《The Hacker News》报道,一种出现在DNSaaS(DNS即服务)的一类新漏洞可被黑客用来获取企业网络的敏感信息。基础设施安全公司Wiz的Ami Luttwak和Shir Tamari宣布,他们发现了一个简单的漏洞,允许拦截所有通过Google和亚马逊等管理的DNS供应商的互联网流量中的一部分动态DNS流量。他们进一步解释说,暴露的流量为威胁者提供了他们发动成功攻击所需的所有信息。令人不安的是,这使任何人都有能力看到公司和政府组织内部正在发生?

  • [技巧]如何在Windows 11上启用DNS over HTTPS功能

    DNS over HTTPS(DoH)是一个进行安全化的域名解析方案。其意义在于以加密的 HTTPS 协议进行 DNS 解析请求,避免原始 DNS 协议中用户的 DNS 解析请求被窃听或者修改的问题来达到保护用户隐私的目的。目前 Windows 11 系统已经加入了对该技术的支持,本文将告诉你如何在新系统上启用它。如何在Windows 11上设置DNS-over-HTTPS(DoH)?步骤如下1. 导航到 设置网络和互联网以太网和WIFI2. 单击“DNS服务器分配”项目上的“编辑”。3.

  • Mozilla为加拿大Firefox用户提供DNS-over-HTTPS服务

    通过和加拿大互联网注册管理局(CIRA)的合作,Mozilla 今天宣布正准备为加拿大当地用户推出 DNS-over-HTTPS(DoH)服务。本次推广活动将于 7 月 20 日开始,需要数月时间才能覆盖加拿大所有的 Firefox 用户。2020 年 2 月,Mozilla 在美国率先添加对 DoH 的支持。通过对 DNS 查询进行加密,Firefox浏览器为其用户提供了更多的在线安全和隐私。7 月 20 日,1% 的加拿大Firefox用户将默认开启 DoH,这一比例将逐渐增加,到 2021 年

  • 实战教程:OneDNS一步搞定网络DNS劫持

    明明输入的是门户的网址,打开的却是页游广告。上网看着看着,突然就被传送到铺满各种“充值XX元就可获得流量大礼包”的页面。网址输错了?有病毒木马?No,可能是DNS劫持。 在“输入网址域名→网页正常显示”的过程中,最容易被下手的就是DNS解析这一环节。如果你没有指定专门的DNS服务器,就会默认使用运营商提供的DNS服务器来进行解析。 很多小型网络运营商为了商业利益,会将A网站的域名直接解析到B网站,用这种最流氓的手段来?

  • 黑客大佬去世 年仅42岁:曾发现DNS漏洞拯救了互联网

    本周六,安全研究员 Marc Rogers 在推特上发布一则消息,称 Dan Kaminsky 已经去世。Marc Rogers 表示:我想现在已经无法掩饰了。昨天,我们失去了丹·卡明斯基。他是信息安全领域最耀眼的明星之一,也可能是我认识的最善良的灵魂。Dan Kaminsky 的生命,永远停在了 42 岁这一年。关于他的死亡原因,目前尚未公开。发现DNS漏洞,一战成名Dan Kaminsky 最早被大众所知,是在 2008 年。当时,他发现了互联网域名系统(DNS)的底层设?

  • 微软Edge浏览器恢复DoH选项:用户可选择DNS服务提供商

    基于 Chromium 的 Edge 浏览器曾经支持过 DoH(DNS Over HTTPS)功能。不过由于性能问题,微软从 Edge 安全设置中移除了 DNS 服务提供商列表。而现在替代的 DNS 服务提供商又回来了,除了稳定版之外的 Beta、Dev 和 Canary 频道版本中均已经显示。

  • DNS.com和DNS盾免费DNS解析、DNSPOD阿里公共DNS

    DNS域名解析服务在以前一般都是使用的是域名商的DNS,但是随着DNS解析技术的发展以及域名解析需求的不断增加,第三方的DNS域名解析服务商也就应运而生了,国内典型的代表就是DNSPOD,国外的就是He.net DNS,现在使用他们的用户都比较多。

  • DNS劫持和DNS污染的区别

    我们知道,某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。常用的手段有:DNS劫持和DNS污染。

这篇文章对你有价值吗?

  • 热门标签