今年以來,DNS攻擊事件與日俱增,攻擊力和造成的損失都十分很驚人。黑客打垮DNS服務能夠間接打垮一家公司的全部業務,甚至打垮一個地區的網絡服務,讓不少企業廠商都心有餘悸。
不久前,某企業的DNSQuery查詢攻擊持續兩周,期間最大流量從200wQPS 到400wQPS再到4000wQPS,查詢攻擊數量持續大幅度地提升。針對短期內野蠻生長的DNS攻擊,此企業做出了一連串的防禦措施,帝恩思有幸參與其中,總結了整個過程並分享給廣大用戶,給大家提供一些參考。
(以下為語音實錄整理)
1月份的時候,我公司的網站突然出現了大量的查詢請求數,差不多是200萬的QPS。當時我同時購買了阿里雲和帝恩思家的域名解析和防護,並藉此對比了一下兩家的防護效果。
當查詢請求數最大流量達 400萬QPS的時候,超過了(阿里的)套餐防護值,阿里就直接封掉了我的域名。當涉及到升級更高版本,支付成本也會增多的時候,我就去市面上查看那些知名DNS安全廠商,以便做好下一步選擇。
l DNSPOD
DNSPOD口碑不錯,DNSPOD官網號稱域名攻擊最高防護量達200萬QPS,DNS防護流量是200G。而我所受的攻擊早就超過了DNSPOD安全閾值,當時就沒選擇dnspod做試用防護。
l 阿里雲DNS
阿里云云解析DNS的特點主要在於較多的雲 DNS 集群節點,用戶可獨享多線BGP,其提供的最高100G防護流量,免受攻擊帶來的影響,但需要購買較高版本套餐,一旦攻擊值超過防護值,阿里就給封了。
l 帝恩思
原來的51dns發展來的,官網上說域名解析服務具有500G超強防護能力,當時也是攻擊值超過了防護值給封掉了,聯繫他們客服才給解封,後來他們客服服務態度不錯,不管攻擊值多高,也沒封掉域名,還挺感謝他們幫忙防護的。
l 360DNS
號稱雲dns集群+高防dns+智能dns服務標準,自主研發的雲dns集群技術,無限制dns伺服器數量,能夠自動判斷線路附近服務,精心挑選每個dns伺服器,擁有超強的抗查詢攻擊能力,有效抵禦DDOS攻擊等各種查詢攻擊。(沒找到用戶使用心得)
此時網站攻擊值與日俱增,已經持續了快2周時間,從後臺數據報表看最大的查詢請求數達 4000萬QPS。我們的CTO將 TTL設置為24小時,也就是說可以在緩存中查詢到24小時網站的內容,可以暫緩本地用戶的正常訪問。
與此同時,我們不得不採取多家高防廠商的dns解析抗D。從目前的狀況來看測試了阿里雲DNS、帝恩思、360DNS三家,三家輪轉,互為災備。但有個問題存在——當某一家安全廠商攻防不住的時候,但又由於TTL設置成為24小時,就說明緩存的錯誤內容會持續分發給DNS,還是造成了域名解析錯誤。黑客達到搞垮網站的目的,造成企業的損失。
還有遞歸伺服器的問題,如果查詢請求數特別大的時候,運營商為了緩解他的伺服器的壓力,還是會把我的域名封掉,這樣網站依舊是打不開。
所以唯一的辦法是,全部切換到一家DNS安全廠商上去。
我們技術團隊商討對比了這三家廠商服務和產品,最終選擇了帝恩思。無他,因為這次攻擊中,帝恩思這個企業是唯一一家真的用心的企業,因為帝恩思的客服會實時與我們溝通攻擊狀況和解決方案,以確保我們的網站能夠正常訪問。
鑑別一家好的安全廠商,就只有一條標準,就是能確保我的網站能夠穩定訪問。
梳理了上述事件的經過,小編深有感悟,原來對於用戶來說,其實需求很簡單,只要用心處理用戶的問題,最大程度保障用戶需求,就能得到他們的認可和信任。 「帝恩思在此次事件中展現的技術的硬實力,一對一的及時有效的服務,專業的解決方案,在同行業中都是首選。」千萬句的自吹自擂,不如用戶一句中肯的評價來的熱淚盈眶。
不過,作為一家以技術立足的企業,還是要從理性的角度分析下此類攻擊事件的防禦原理,整理出一套具有借鑑意義的應對之策——
最大查詢請求數達 200W QPS時,應對方案:
選擇兩家技術過硬,排名靠前的DNS安全廠商,這樣可以選擇一家作為災備。
此次客戶選擇的是 帝恩思和阿里雲。
最大查詢請求數達400W QPS時,應對方案:
升級防禦,選擇抗攻擊能力強的DNS安全廠商,增至三家。當最大查詢請求數達400W QPS時,已經達到某些DNS安全廠商的最大閾值,所以審慎考慮。
此次客戶選擇的是 帝恩思、阿里雲、360。
最大查詢請求數 4000W QPS時,應對方案:
TTL 設置24小時,切換到一家最好的DNS安全廠商(從技術、服務和解決方案角度考慮)
TTL 設置24小時,即便網站不運行在緩存中可查詢到24小的網站的內容,但三家做災備涉及防禦輪轉,當某一家安全廠商攻防不住的時候,網站可以正常運轉,但由於TTL設置成為24小時,就說明緩存的錯誤內容會持續分發給DNS,還是造成了域名解析錯誤,黑客達到搞垮網站的目的,造成了企業的損失。
此次客戶選擇的是 帝恩思!
企業的安全防護是一段嚴謹而務實的徵程,面對越來越高頻的黑客攻擊,不僅產品的技術功能面臨更嚴峻的挑戰,並且對於一線人員的服務意識與服務能力提出更高的要求。一件切實服務的案例,抵過千萬句空口承諾,我們為之保駕護航的客戶,會用腳做出他們自己的選擇。
原理:DNS Query Flood就是攻擊者操縱大量傀儡機器,對目標發起海量的域名查詢請求。為了防止基於ACL的過濾,必須提高數據包的隨機性。常用的做法是UDP層隨機偽造源IP位址、隨機偽造源埠等參數。在DNS協議層,隨機偽造查詢ID以及待解析域名。隨機偽造待解析域名除了防止過濾外,還可以降低命中DNS緩存的可能性,儘可能多地消耗DNS伺服器的CPU資源。