DNS受攻击后如何应对
最近更新时间:2017-05-05 17:40:44
行文前不妨给大家普及一下什么是DNS:
DNS 是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的,即域名解析服务器,靠它把你要访问的网址找到然后把信息送到你电脑上。还是不太能理解对吧?域名是您网站的地址,是方便客户记忆,起的一个英文或中文名字。而您网站服务器真正的地址,是叫做IP地址的一组数字,例如 110.110.39.56 ,这是互联网上的每一台服务器、个人电脑都有的唯一编号。您的电脑要显示百度的网站,其实是通过百度服务器的IP地址来找到它的。
您可以用这样一个例子来做类比:比如您的公司叫做“苹果公司”,地址是 “xx市xx区xx大街xx号xx写字楼xx房间”。您的客户都知道您的公司叫 苹果公司,这很容易记。但如果客户要上门拜访,肯定无法只通过公司名称就直接找到您的。在这里,苹果公司就相当于您的域名,而办公地址就相当于IP地址。在互联网上,把域名和IP地址对应起来的过程,就是DNS解析。
各地运营商均有自己的DNS服务器,小运营商会为了利益,劫持用户DNS,以达到域名劫持,修改注册信息,劫持解析结果来获利。最简单的例子,你输错网址的时候会弹出一堆小广告。
DNS作为世界最复杂的分布式层次数据库系统,因为其先天的开放性、庞大性、和复杂性等特点。以及再设计之初就对于安全性的考虑不足,DNS系统是经常受到严重的威胁的。譬如,DNS欺骗、漏洞攻击等等层出不穷,近年来DDOS攻击更有愈演愈烈的趋势。因此如何解决DNS的DDOS攻击问题急如星火。
1、按攻击发起者分类 僵尸网络: 控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求 模拟工具:利用工具软件伪造源IP发送海量DNS查询 。
如下图:
2、按攻击特征分类 Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求 .
如下图:
3、资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的。
面对这些攻击就需要有效的DDoS攻击防护,目前解决DNS所遭受的DDOS攻击,最有效的解决方式就是依靠高防型的DNS.目前防御型的DNS不是依赖查找攻击源进行防御,而是直接依赖机房的强大,接纳这种攻击流量,保证网站正常访问,攻击者在无可奈何中就会停止攻击。距统计,目前国内大部分机房能够防御的最大攻击流量为200G QPS,其中实力最强的拥有最大防御值的最高可达1亿QPS,几乎能抵御目前最高级别的DDOS攻击。 目前高防型的DNS也比较多了,拥有自身机房保障的高防型DNS唯一网络下面的DNS.COM,它的高防效果是本人亲自测验的,当时攻击流量是达到160G,网站依然能正常访问,效果不错。
总之目前针对DNS的攻击已成为最严重的网络威胁之一。目前越来越多的大型网站注重DNS保护这一块。为保障网站安全,保障网站利益,选择高防型的DNS为自己的域名进行解析已经迫在眉睫,站长们应该慎之又慎。