DNS作为互联网的基础服务和入口,对站长的重要性不言而喻。然而在中国,或者说世界范围来讲,DNS正在面临越来越严重的安全威胁,针对DNS服务的攻击也越来越严重。DNS攻击具体表现就是攻击流量越来越大、攻击手段越来越新颖。
DNSPod为了保障用户的解析服务,这两年也做了很多相应的工作来应对这些攻击。
DDoS
虽然Anonymous没能黑掉13个根域名服务器,不过年初Spamhaus受到300G的攻击,攻击流量之大史无前例,对整个欧洲的互联网都造成了很大的影响。Spamhaus攻击是通过大量的递归DNS服务器反射放大攻击流量来攻击目标服务器,这是这两年比较流行的一种攻击方式。
DNSPod服务器也经常受到或者被利用进行反射放大攻击,我们在防护此种类型的攻击上也做了大量的工作,比如在去年上半年关闭了any类型的查询,和腾讯安全中心研发部署了支持多种防护算法的防护设备,并且针对黑客不断变化的攻击方式不断更新防护算法,部署完成到现在近两年的时间里抗住了所有针对DNSPod的攻击。
2013年9月,DNSPod受到一次超过100G流量的攻击,这次攻击不仅在攻击流量上刷新了DNSPod的记录,在攻击手段上也很新颖,不是直接打流量,也不是反射放大流量攻击。黑客通过向大量的递归服务器发送要攻击域名的查询请求,然后递归再向DNSPod的解析服务器发出查询请求,因为各地的递归服务器一般都在我们防护设备的白名单中,所以黑客通过这种方式绕过我们防护设备原有的过滤算法,迫使我们的解析服务器对攻击请求进行应答,当然DNSPod还是成功防御了此次攻击,没有用户受到影响。
这次攻击之后除了我们针对性的更新防护算法之外,也已经在部署今年新研发的高性能解析服务器集群,单机可以处理最高1100万次DNS查询请求,到明年年初会在全国各地部署完成多个集群。届时,DNSPod的最高扛攻击能力会从现在的160G升级到300G以上。
2013年8月底,.cn根域被DDoS,这是今年对国内互联网影响最大的一次攻击,包括.cn、.com.cn和.gov.cn等大量.cn后缀的域名的解析受到影响,攻击流量也刷新了.cn被攻击的最大记录,这次攻击DNSPod首先监控到并发布了相关消息,后续也配合CNNIC等有关部门进行了相应沟通和处理。
DNS劫持
DNS攻击的另一个流行方式就是DNS劫持,或者说域名劫持,黑客通过网站漏洞、撞库或者社工等方式将域名的NS或者记录修改成指定的值,从而达到自己的目的……