DNS(domain name server, 域名服务器)是互联网的一项核心服务,是进行域名与之对应的IP地址之间转换的系统,可将易于记忆的域名转换为方便服务器识别的用于互连通信的数字IP地址。随时大数据时代的到来,传统DNS所存在的DNS劫持,域名转发,不支持IPv6等问题给用户带来了“解析时间太长”,“网络线路卡顿,不通畅”,甚至有“网络完全瘫痪”等不好的体验,传统的DNS解析已经不能满足用户和企业方对网站访问的要求,人们需要更加快速,安全,可靠,具有权威信性的DNS解析管理服务。高防DNS云解析通过其弹性带宽设定,配备DDoS防火墙和流量清理等功能特性,保护了网络安全,提高了解析速度,高防DDoS攻击。而高防DNS云解析具体是如何实现的呢?
首先我们了解针对DNS攻击有哪些,这些攻击会导致什么后果。
针对DNS的攻击基本可分为三大类,分别为拒绝服务类(DNS放大,资源耗尽,缓冲区溢出,ICMP Flood,SYN Flood),分布式拒绝服务类(VDP Flood,NTP放大,HTTP Flood,FAST Flux, XSS) 和DNS劫持类(DNS欺骗,DNS隧道,DNS重新绑定,DNS拼写仿冒)。这些攻击会导致网络钓鱼,网站信息被窃取,网络瘫痪,用户经济损失等后果(表1,DNS攻击分析)。
攻击方式 |
攻击 |
攻击后果 |
|||||
网络钓鱼 |
恶意指令发送 |
隐私信息窃取 |
系统安全性破坏 |
网络崩溃 |
病毒传播 |
||
DNS欺骗 |
√ |
√ |
|
|
|
|
|
DNS隐蔽信道 |
利用DNS数据包封装信息获取数据信息 |
|
√ |
√ |
|
|
|
DNS DDoS攻击 |
控制僵尸主机发送多源信号对同一主机进行攻击耗尽服务器的带宽容量,阻碍客户的正常访问 |
|
|
|
√ |
√ |
|
DNS放大攻击 |
向DNS发送伪造的数据包,将正常的请求包大小扩大100倍以上,占据服务器宽带容量 |
|
|
|
√ |
√ |
|
缓冲区溢出 |
向系统内写入错误的缓冲区而不是预期的位置,使内存的应用崩溃 |
|
√ |
|
√ |
√ |
|
ICMP Flood &SYN Flood&UDP Flood |
利用测试包请求回应,在不断地回应请求中使得容量崩盘 |
|
|
|
|
√ |
|
DNS 重新绑定 |
利用浏览器的长期缓存特性,在搜索浏览器过程中修改至恶意网址 |
|
√ |
√ |
√ |
|
|
|
|
|
|
|
|
|
|
表1 DNS 攻击分析
其中,对DNS伤害性最高的莫过于DDoS攻击(Distributed Denial of Service Attack,分布式拒绝服务攻击),DDoS攻击是DoS攻击的升级版,不同于DoS一对一的攻击方式,黑客将成千上网的僵尸主机联合起来在同一时间对同一台主机进行攻击(图1,DNS DDoS攻击),超大流量的攻击将直接耗尽服务器宽带容量,淹没系统,且多源主机的联合攻击无法短时间内找到可能来自世界各地的访问源头,无法直接关闭访问,网络服务器将迅速崩溃。之所以说DNS DDoS伤害性最大是因为现代互联网环境下人们依赖于大数据的云端储存,而在此环境下的云端域名管理多采用集中化管理,结合DDoS的攻击特性,使得云端DNS服务器一旦受到攻击就会造成很严重的后果。
图1 DNS DDoS攻击
对比在服务器遭受攻击后再进行反击,更加有效的做法是采用高防DNS云解析,监测DNS攻击和安全防护DNS系统是高防DNS云解析针对DNS系统安全的有效保障功能。
相关推荐:
什么是DNS云解析?国科云DNS云解析产品常见问答
什么是DNS云解析?云解析和普通解析有什么区别?
DNS云解析常见问题盘点
DNS云解析是什么?有必要购买吗?