阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

使用多个DNS供应商以缓解DDoS攻击

244次阅读
没有评论

共计 2115 个字符,预计需要花费 6 分钟才能阅读完成。

随着不安全物联网(IoT)设备的激增,针对域名系统(DNS)供应商的分布式拒绝服务(DDoS)攻击在数量和规模上正在不断增加。这些攻击随之影响依赖于这些供应商进行域名解析的网站。虽然 DNS 供应商采取了各种方法来保护自己免受此类攻击,但网站保护自身的方法之一是使用多个 DNS 供应商。

2016 年发生了史上最大规模之一的 DDoS 攻击,这一攻击是针对 DNS 供应商 Dyn 的。此次攻击前后有三波,它通过已感染 Mirai 恶意软件的物联网设备组成的僵尸网络进行攻击。许多公司都受到此次攻击的影响,比如 Amazon、Paypal、Reddit 和 Github。该攻击导致 Dyn 无法响应由其域名服务器解析的域名的有效 DNS 查询,以至于终端用户无法访问相关域名。

据 Dyn 技术副总裁 Phil Stanhope 所说,此次 Dyn 攻击事件还包括一个基于 TCP SYN cookie 的攻击,该攻击利用了 Linux 内核的一个错误。SYN cookie 是一种用于缓解 SYN flood 攻击的方法,SYN flood 攻击通过连续发送 TCP SYN 请求来耗尽目标系统的资源。然而,SYN cookie 也有自己的问题,在 Linux 3.x 版本中,一个系统级别的锁用于生成 SYN cookie。由于这个级别的锁定,无论内核实际数量多少,系统均如单核系统一样运行,从而降低了其实际处理能力。Linux 4.x 版本通过使用针对各个 CPU 内核的局部锁来解决这个问题。

DNS 供应商采用了各种方法来防止攻击,比如清理(scrubbing)。清理是通过第三方来过滤所有流量。第三方以提供保护为服务,清除恶意流量,使合法流量通过并到达最终目的地。许多厂商提供这样的服务,比如 Akamai、AT&T、Verizon 和 Arbor Networks。

对某个网站或域名的任何 HTTP(或其他协议)请求,都需进行 DNS 查询,以将域名解析为一个或多个 IP 地址。该请求穿行于域名中各个级别的授权服务器的多个解析器。例如,对 www.infoq.com 的请求,首先是根服务器,然后再查询.com 的顶级域名(TLD)服务器,最后查询 infoq.com 的授权服务器。整个过程中的解析器可能会缓存结果,以便更快地进行后续响应。缓存可以由 DNS 响应中的生存时间(TTL)值控制。针对 infoq.com 授权服务器的 DDoS 攻击可能使得这些授权服务器无法响应有效查询,并且最终导致整个网站无法访问。

一般来说,DNS 服务器冗余可以防止此类中断。也就是说任何商业 DNS 供应商都将为一个既定域名提供多个 DNS 服务器。dig 或 drill 命令可用于查看域名服务器记录(下面以 infoq.com 为例)。

# dig infoq.com ns

; <<>> DiG 9.10.3-P4-Ubuntu <<>> infoq.com ns
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47143
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;infoq.com.            IN    NS

;; ANSWER SECTION:
infoq.com.        259200    IN    NS    ns1.contegix.com.
infoq.com.        259200    IN    NS    ns2.contegix.com.

;; Query time: 367 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Jan 03 23:47:46 IST 2017
;; MSG SIZE  rcvd: 83

但是,如果某个供应商遭到 DDoS 攻击,那么可能其所有的域名服务器都会受到影响。因此使用多个 DNS 供应商有助于解决这一问题。

要使用多个 DNS 供应商,必须允许编辑各个 DNS 供应商的域名服务器记录,以便所有记录都可以作为响应的一部分进行发送。另外,每个供应商都将拥有多个域名服务器,并且各供应商的所有域名服务器的顺序是打乱的。这样对一个供应商的失败请求会引起对另一个供应商的请求,而不是一直在尝试第一个供应商的所有其他域名服务器,因为这些服务器可能也是失效的。

确保 DNS 可靠性的其他方法还有 Anycast,在这个方法中,多个域名服务器具有相同 IP 地址。进行 DNS 查询时,数据包被传送到最近的域名服务器。在失效的情况下,数据包由底层路由协议自动传送到最近的有效域名服务器。

设置正确的 TTL 非常重要,这样即使记录由服务于响应的中间服务器进行缓存,也可以实现发生故障时切换到辅助服务器。正如 Stanhope 在 Velocity 的演讲中所说,未来 NetOps、DevOps、SecOps 和 SRE 团队之间需要更多的协作来缓解这种攻击。

查看英文原文 :Multiple DNS Providers to Mitigate DDoS Attacks

本文永久更新链接地址 :http://www.linuxidc.com/Linux/2017-01/139591.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-21发表,共计2115字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中