今年以来,DNS攻击事件与日俱增,攻击力和造成的损失都十分很惊人。黑客打垮DNS服务能够间接打垮一家公司的全部业务,甚至打垮一个地区的网络服务,让不少企业厂商都心有余悸。
不久前,某企业的DNSQuery查询攻击持续两周,期间最大流量从200wQPS 到400wQPS再到4000wQPS,查询攻击数量持续大幅度地提升。针对短期内野蛮生长的DNS攻击,此企业做出了一连串的防御措施,帝恩思有幸参与其中,总结了整个过程并分享给广大用户,给大家提供一些参考。
(以下为语音实录整理)
1月份的时候,我公司的网站突然出现了大量的查询请求数,差不多是200万的QPS。当时我同时购买了阿里云和帝恩思家的域名解析和防护,并借此对比了一下两家的防护效果。
当查询请求数最大流量达 400万QPS的时候,超过了(阿里的)套餐防护值,阿里就直接封掉了我的域名。当涉及到升级更高版本,支付成本也会增多的时候,我就去市面上查看那些知名DNS安全厂商,以便做好下一步选择。
l DNSPOD
DNSPOD口碑不错,DNSPOD官网号称域名攻击最高防护量达200万QPS,DNS防护流量是200G。而我所受的攻击早就超过了DNSPOD安全阈值,当时就没选择dnspod做试用防护。
l 阿里云DNS
阿里云云解析DNS的特点主要在于较多的云 DNS 集群节点,用户可独享多线BGP,其提供的最高100G防护流量,免受攻击带来的影响,但需要购买较高版本套餐,一旦攻击值超过防护值,阿里就给封了。
l 帝恩思
原来的51dns发展来的,官网上说域名解析服务具有500G超强防护能力,当时也是攻击值超过了防护值给封掉了,联系他们客服才给解封,后来他们客服服务态度不错,不管攻击值多高,也没封掉域名,还挺感谢他们帮忙防护的。
l 360DNS
号称云dns集群+高防dns+智能dns服务标准,自主研发的云dns集群技术,无限制dns服务器数量,能够自动判断线路附近服务,精心挑选每个dns服务器,拥有超强的抗查询攻击能力,有效抵御DDOS攻击等各种查询攻击。(没找到用户使用心得)
此时网站攻击值与日俱增,已经持续了快2周时间,从后台数据报表看最大的查询请求数达 4000万QPS。我们的CTO将 TTL设置为24小时,也就是说可以在缓存中查询到24小时网站的内容,可以暂缓本地用户的正常访问。
与此同时,我们不得不采取多家高防厂商的dns解析抗D。从目前的状况来看测试了阿里云DNS、帝恩思、360DNS三家,三家轮转,互为灾备。但有个问题存在——当某一家安全厂商攻防不住的时候,但又由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误。黑客达到搞垮网站的目的,造成企业的损失。
还有递归服务器的问题,如果查询请求数特别大的时候,运营商为了缓解他的服务器的压力,还是会把我的域名封掉,这样网站依旧是打不开。
所以唯一的办法是,全部切换到一家DNS安全厂商上去。
我们技术团队商讨对比了这三家厂商服务和产品,最终选择了帝恩思。无他,因为这次攻击中,帝恩思这个企业是唯一一家真的用心的企业,因为帝恩思的客服会实时与我们沟通攻击状况和解决方案,以确保我们的网站能够正常访问。
鉴别一家好的安全厂商,就只有一条标准,就是能确保我的网站能够稳定访问。
梳理了上述事件的经过,小编深有感悟,原来对于用户来说,其实需求很简单,只要用心处理用户的问题,最大程度保障用户需求,就能得到他们的认可和信任。 “帝恩思在此次事件中展现的技术的硬实力,一对一的及时有效的服务,专业的解决方案,在同行业中都是首选。”千万句的自吹自擂,不如用户一句中肯的评价来的热泪盈眶。
不过,作为一家以技术立足的企业,还是要从理性的角度分析下此类攻击事件的防御原理,整理出一套具有借鉴意义的应对之策——
最大查询请求数达 200W QPS时,应对方案:
选择两家技术过硬,排名靠前的DNS安全厂商,这样可以选择一家作为灾备。
此次客户选择的是 帝恩思和阿里云。
最大查询请求数达400W QPS时,应对方案:
升级防御,选择抗攻击能力强的DNS安全厂商,增至三家。当最大查询请求数达400W QPS时,已经达到某些DNS安全厂商的最大阈值,所以审慎考虑。
此次客户选择的是 帝恩思、阿里云、360。
最大查询请求数 4000W QPS时,应对方案:
TTL 设置24小时,切换到一家最好的DNS安全厂商(从技术、服务和解决方案角度考虑)
TTL 设置24小时,即便网站不运行在缓存中可查询到24小的网站的内容,但三家做灾备涉及防御轮转,当某一家安全厂商攻防不住的时候,网站可以正常运转,但由于TTL设置成为24小时,就说明缓存的错误内容会持续分发给DNS,还是造成了域名解析错误,黑客达到搞垮网站的目的,造成了企业的损失。
此次客户选择的是 帝恩思!
企业的安全防护是一段严谨而务实的征程,面对越来越高频的黑客攻击,不仅产品的技术功能面临更严峻的挑战,并且对于一线人员的服务意识与服务能力提出更高的要求。一件切实服务的案例,抵过千万句空口承诺,我们为之保驾护航的客户,会用脚做出他们自己的选择。
原理:DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。
