【更新版】域名安全防護智慧解析DNS+CDN免費產品

天府雲創發表於2016-12-06
DNS
除了我所熟知的360網站衛士、百度雲加速、知道創宇的加速樂和安全寶之外還有
https://www.dns.com/
https://www.yundun.com/
https://www.newdefend.com/
https://www.dnsdun.com/
http://www.zdns.cn/ 
域名的高仿服務 越來越多了。。 他們都支援NS和CNAME的解析方式,很人性化也很方便

【附錄】國內五大抗DDoS服務

DDoS是實施成本較低和技術手段最為容易的惡意攻擊形式,許多全球大型網際網路企業都曾遭受過DDoS攻擊,無數的中小企業更是深受其害。無論是技術含量較高的反射式攻擊,還是簡單粗暴的頻寬消耗,無不令受害者防不勝防、頭痛不已。

好的一面是,隨著近年來DDOS的攻擊流量和頻率都越來越大,抗D服務也變的越來越重要,重量級的選手也紛紛參與進來。目前國內已經有數家在技術和基礎設施上均具備雄厚資源的抗D服務提供商,並在業界有著良好的口碑和長期的服務經驗。通過溝通,安全牛得到其中5家優秀企業的積極迴應,下面為大家逐一介紹( 注 :排名不分先後):
一、中國電信雲堤
1. 團隊
雲堤團隊核心成員均來自中國電信集團公司運維部,隸屬於中國電信集團網路安全產品運營中心,清一色技術專家出身,人均擁有10年以上IP骨幹網路維護和網路安全經驗,以及網路和安全方面多項國際高水平認證。成員3/4是中國電信IP專業或安全專業B級實操人才。
雲堤團隊規模並不大,但這個“濃縮”的團隊在高負荷的工作下,從研發、運營到市場推廣一路走過來。“雲堤”推出僅半年,在幾次重大突發攻擊事件中都很好的展現出了能力,在市場上擁有良好的使用者口碑。
2. 技術
“雲堤”的主要功能包括攻擊檢測、攻擊防護和分析溯源三個部分:
1)攻擊檢測利用覆蓋電信全網核心路由器的NetFlow資料進行攻擊監測,其優勢是可以對經過中國電信大網的任意網際網路目標地址的進行線上實時流量監控,在大流量攻擊發生時,有別於傳統攻擊檢測方式只能在近攻擊目的端的網路或主機上計算攻擊流量和訪問量因而無法避免出現因為流量擁塞或丟包帶來的記數嚴重偏小問題,雲堤可以在全網所有鏈路上對去往目標IP所的實際攻擊流量進行全面評估,因此對大型DDoS攻擊的流量規模測度最為準確。
2)攻擊防護包含流量壓制和流量清洗兩種主要功能,其突出優勢是“近源防護”的概念,雲堤監控分析電信全網的路由器的NetFlow資料,能夠準確的辨別一個攻擊的主要區域來向,可以判斷是從境外發起還是從國內其他運營商發起,並定位發起點是哪一家運營商、哪一個城市甚至是IDC機房,從而排程IP承載網路由器和分散式部署的流量清洗裝置將攻擊流量在“最靠近攻擊發起源”的網路節點上對攻擊流量的進行清除,因此其攻擊防護能力理論上無限大。
雲堤的近源流量壓制利用了很多BGP核心功能,如Anycast/虛擬下一跳/FlowSpec進行控制信令的全網散步,利用IP網核心路由器將攻擊流量進行可區分方向的丟棄、限速和其他QoS動作。近源清洗則是利用對攻擊源進行實時分析後,啟動最靠近攻擊源的部署在電信IP網核心節點的清洗中心,將攻擊流量牽引至清洗中心進行惡意流量的處置,再將正常的業務流量通過隔離的回送通道送達目標網站。雲堤的清洗節點頻寬是固化獨享的,不存在攻擊引流時與其他業務流量共享清洗頻寬的情況,極大降低了因為攻擊流量引發頻寬擁塞的業務受損可能性,同時雲堤利用BGP實現了對攻擊流量牽引導流的秒級全網生效,而對比傳統的通過修改DNS/NS權威解析導流的方式,往往十幾分鍾才能生效,而且受制於使用者本地遞迴中的TTL最小值限制,無法保障網內攻擊流量的完全引導。
清洗裝置採用運營商級大容量高效能清洗裝置為主,有很強的小包處理和轉發效能,對Web安全過濾有一定的能力,同時接受使用者對清洗防護策略模板的深度定製。
3)分析溯源主要解決對攻擊來源的準確定位。我們知道,黑客利用殭屍主機發起攻擊時時常會使用虛假源IP地址,以達到混淆身份,藏匿歸屬的目的。雲堤通過將每一個監測到的攻擊進行實時的NetFlow分析,找出攻擊發起點接入網路裝置的物理電路介面,通過該介面就能準確定位攻擊源,不需要進行任何關於IP源地址的歸屬推測。由於雲堤瞭解骨幹運營商的所有網路資源位置,而不依賴於IP地址歸屬對映(網際網路公司常用)和源端是否存在有效探針(安全公司的做法),這使雲堤在攻擊溯源定位能力的領先優勢難以撼動。
3. 客戶群
雲堤的客戶群主要分為兩類,一類是直接或間接使用電信網路的大型網際網路公司、雲服務提供商(IDC)和二級SP;另一類是直接使用電信專線的傳統政企類客戶,包括金融、政府、能源製造等使用者。據瞭解,幾家國內最具代表性的網際網路公司、以及數家知名雲服務提供商均已在使用雲堤的服務。
雲堤的特點:
· 全網覆蓋(含電信海外網路)
· 對大攻擊流量的全面客觀測度
· 近源防護,並可區分攻擊來向的流量壓制,防護能力上不封頂
· 全網1T的清洗容量
· 基於BGP anycast技術的近源攻擊流量牽引,秒級防護生效;覆蓋全網的準確攻擊溯源
· 使用者零操作,零裝置部署

二、阿里云云盾
1. 團隊
阿里巴巴集團安全部相關工程師包含了硬體研發、軟體研發、軟硬體測試、售後技術支援還安全運營幾個核心團隊,總人數超過1000人。其中,阿里云云盾是面向雲端計算使用者的安全服務,安全核心運營人員數量近百人,其中多人獲得CCIE認證,多名核心骨幹從事集團安全運營工作超過5年以上,安全從業超過6年以上經驗的安全專家數十人。
2. 技術
阿里巴巴集團雲盾產品涉及產品元件,全部為自主研發產品,擁有充分自主智慧財產權。從引流技術上,當前BGP與CDN兩種方案都支援。防護的方式採用被動清洗方式為主,主動壓制為輔的方式,對攻擊進行綜合運營託管,使用者可在攻擊下高枕無憂。

從防護架構上來說,如下圖所示:
從DDoS的防護型別上來說,阿里云云盾可以防護來自網際網路的各種DDoS攻擊,並可以根據使用者的流量大小自動調整防禦策略,防護型別包括SYN flood、Ack flood、UDP flood、HTTP Flood/CC、DNS Query Flood以及NTP Reply Flood等所有DDoS攻擊方式,保障了網際網路應用系統的可用性。
從DDoS防護技術上來說,阿里云云盾針對攻擊在傳統的代理、探測、反彈、認證、黑白名單、報文合規等標準技術的基礎上,還可結合Web安全過濾、信譽、七層應用分析、使用者行為分析、特徵學習、防護對抗等多種技術,對威脅進行阻斷過濾,保證被防護使用者在攻擊持續狀態下,仍可對外提供業務服務。
阿里云云盾今年推出的高防服務是針對阿里雲伺服器在遭受大流量的DDoS攻擊後導致服務不可用的情況下,推出的增值服務,使用者可以通過配置高防IP,將攻擊流量引流到高防IP,確保源站的穩定可靠。高防服務提供7×24的實時防護,秒級響應。迄今為止,服務質量受到對業務連續性和可用性有較高要求的諸多考驗,並得到使用者的好評。
此外,當前阿里巴巴建設的防護系統,防護能力達到T級,同時,當前正在各地擴容防護能力節點。
3. 客戶群
阿里云云盾服務於阿里雲以及阿里雲外所有客戶。當前服務的主要客戶包括,金融、娛樂(遊戲)、媒資、電商、政府。
雲盾的特點:
· 防護海量DDoS攻擊。曾成功防禦全球最大DDoS攻擊,流量峰值453G
· 精準攻擊防護。針對交易類、加密類、七層應用、智慧終端、線上業務攻擊精準防護
· 隱藏使用者服務資源。雲盾資源做為源站的前置,可對使用者站點進行更換並隱藏,使攻擊者無法找到受害者網路資源。
· 彈性防護。使用者可在控制檯自助升級防護級別,無需中斷業務,秒級生效。
· 高可靠、高可用的服務。全自動檢測和攻擊策略匹配,實時防護,清洗服務可用性99.99%。
· 百倍賠償。如果清洗業務防護不成功,則對使用者進行百倍賠償。

三、騰訊雲大禹
1. 團隊
騰訊雲安全團隊由騰訊社交網路事業群、技術工程事業群兩大安全團隊組成。團隊成員為騰訊眾多產品提供海量服務下的安全防護工作。僅支撐雲安全的團隊技術成員便已超過百人。
2. 技術
大禹系統在騰訊雲機房外側部署了密集的防護節點,每個節點機房入口均部署了宙斯盾系統,支援waf相關功能,節點更具有加速能力。客戶接入大禹系統時,大禹系統會提供一個域名。客戶cname到該域名後,大禹通過騰訊自研的GSLB域名解析系統為客戶的使用者提供最優的訪問線路。
當遇到小流量攻擊時,大禹系統會通過宙斯盾系統清洗攻擊流量,再將清洗後的業務流量轉發給web伺服器。大禹系統當發生超大流量攻擊時,大禹系統會根據攻擊的實際的影響情況,通過修改域名的解析結果,使得正常業務流量快速分攤到未受影響的節點上去。待受影響修復後,大禹系統自動將節點上線匯入業務流量。總體來講是用游擊戰的戰術對抗DDoS攻擊。
大禹系統大致架構圖如下圖所示。其中共包括如下幾個主要系統:移動加速系統、攻擊防護點、源站、騰訊宙斯盾系統。
各網路節點分別起著不同的作用:
· 排程系統在大禹系統中起著智慧域名解析、網路監控、流量排程的作用;
· 源站,開發商業務伺服器;
· 攻擊防護點,過濾攻擊流量,並將正常流量轉發到源站;
· 宙斯盾系統是騰訊的通用DDoS防護系統,在大禹系統中會與攻擊防護點配合起來,以起到超大流量的防護作用,提供雙重防護的能力。另外騰訊宙斯盾系統還保護了所有騰訊的機房和系統。
3. 客戶群
騰訊大禹系統支援基於TCP,HTTP協議的業務,支援安卓/IOS系統,支援各類主流遊戲開發框架,例如cocos2d-x, unity3D等。支援防護業界主流的各種攻擊型別,例如TCP SYN、TCP ACK、TCP FIN、UDP、ICMP、DNS、CC攻擊等。客戶可以有騰訊雲主機,也可以沒有騰訊雲主機。高防專區針對所有協議型別的客戶,但需要在騰訊雲上購買主機。
大禹的特點:
· 獨立部署。騰訊云為每個攻擊防護點搭建機房,均獨立部署,和其他騰訊自營業務進行完全隔離

 

· 海量頻寬。單點提供超過500G的網路防護能力,為使用分散式防禦的使用者,更可提供高達兩個T的防禦頻寬。
· 八年自研DDoS防護技術積累。
· 久經考驗。每天抗數萬次攻擊,最大攻擊流量達到200G。

四、綠盟ADS
1. 團隊
綠盟雲安全運營團隊目前包含一線安全監控和運營工程師、二線攻防專家,安全運營平臺開發和維護人員,大資料分析平臺投入,團隊共計近100人的規模。
2. 技術
1)針對DDoS攻擊的防護包含發現攻擊和處理攻擊2個環節,每個環節有多種技術視業務環境、攻擊情況和業務重要程度靈活採用。
攻擊發現通常採用客戶業務指標異常監控和流量異常監控的方式。流量異常監控包括協議流量異常監控、鏈路流量異常監控、報文特徵流量異常等監控手段等,檢測技術上主要是DPI和DFI兩種技術手段。可以是伺服器特定業務指標監控軟體、含有DDoS技術模組的WAF、ADC、NGFW、網路效能監控裝置、專業業務可用性監控服務等,雲端或管道端的包括基於DPI和DFI技術的異常流量監控系統、攻擊溯源系統。後者用於在源端網路發現攻擊源,配合源端和目的端裝置或清洗雲平臺的過濾措施實施DDoS體系防護方案。
攻擊處理環節的技術包括流量牽引、回注技術和流量緩解技術,牽引和回注技術最常用的BGP牽引和智慧DNS,前者可以重定向所有想牽引的目的流量,因此可以針對所有型別的攻擊。後者部署更簡單、牽引範圍更廣,但通常只能對WEB訪問進行重定向,且受DNS的TTL影響,存在較長的牽引生效延遲,一般相對適合CDN場景。回注技術包括MPLS和GRE隧道技術、PBR和二層回注技術。流量緩解技術包括流量清洗技術和各類流量過濾技術,流量清洗技術通常是採用使用者行為和協議行為驗證技術,來發現攻擊報文進行過濾,這是當前專業DDoS防護裝置的核心技術。過濾策略和過濾技術和包括黑洞路由、ACL、FlowSpec、基於地理位置的過濾、黑白灰和基於業務環境、威脅環境的過濾策略、源端過濾、目的端過濾等技術,豐富的過濾技術有時候也是攻擊處理的利器,尤其是攻擊應急響應的時候。目前綠盟ADS裝置內建了BGP的流量牽引和上述各類回注技術,也內建了上述攻擊緩解的技術手段。
2)技術架構。就綠盟清洗服務的技術和交付架構而言,如下圖,包括三個部分,即服務商合作雲清洗平臺、綠盟雲安全運營平臺、和綠盟抗D技術交付平臺:
a)服務商合作雲清洗平臺是和服務商合作建立用於進行DDoS攻擊發現和處理的技術平臺。該平臺目前採用綠盟ADS清洗裝置叢集、NTA異常流量監控系統和ADS-M管理中心、區域攻擊溯源系統建立可擴充套件的大容量清洗平臺。目前清洗平臺主要採用BGP技術,在國內可以在區域網路核心網路位置部署,海外則跨運營商建立BGP連線牽引流量,為企業客戶提供DDoS 安全雲服務,並通過建立專門通道,該方式可以處理的攻擊型別更為廣泛。
b)綠盟雲安全運營平臺和所有綠盟雲清洗平臺連線,使安全運營人員可以7*24小時集中監控所有云清洗平臺執行狀態和攻擊狀況,發生攻擊時可以集中處理相關的攻擊,提供可以通過泛終端訪問的客戶Portal,並提供和各類服務商合作的API介面,便於嵌入合作方SP的業務中。
c)綠盟抗D技術交付平臺主要包括客戶端的硬體交付技術和雲端的基於大資料攻擊分析平臺和信譽系統。前者是部署在客戶側的綠盟的ADS裝置和含抗D技術模組的WAF裝置,可以和綠盟雲清洗平臺聯動,實現雲端大流量攻擊和客戶側小流量、應用層攻擊的自動協同清洗,也可以和雲端信譽系統連線獲取新的威脅知識進行主動防禦。後者和綠盟雲安全運營平臺對接,基於全球分散式清洗平臺的威脅資料實施大資料分析,形成不同灰度的IP信譽庫和攻擊指紋庫,也可以基於此平臺對發現的新型攻擊進行研究和快速閉環。
3. 客戶群
目前在國內,服務物件導向主要是各政府部門、金融(證券和銀行)、電子商務企業、本地製造業等企業大客戶。國際上面向電子商務、線上遊戲等客戶群。
綠盟ADS的特點:
1)覆蓋攻擊發現、處理、主動溯源、信譽技術的完整技術方案。值得關注的是基於CPE裝置/軟體結合雲端服務的混合抗D方案,綠盟當前在大客戶有廣泛的ADS及抗D模組裝置如WAF的部署,可以很容易感知業務異常,方便和雲端聯動和協作。從價效比看該方案更適合金融、政府、電子商務的大客戶。
2)十多年抗D攻防技術積累、專業抗D運營團隊、完整的攻擊分析平臺和技術交付平臺。
3)2013年底統計,綠盟在全球的ADS線上裝置部署合計共有4000G以上的清洗容量,覆蓋廣泛的企業大客戶,積累了在終端客戶處的專業品牌認知。
4)和很多的各類服務商建有良好的關係。很多SP之前是綠盟的客戶,便與開展產業合作。

五、360雲安全
1. 團隊
360雲事業部成立於2014年12月31日,主要聚焦計算安全基礎研究、私有云系統安全加固、雲端計算安全審計、雲安全防護四大技術方向。目前360雲安全防護
團隊已經形成了包括網站衛士在內的安域、星圖、星盾、雲監控、磐雲等一系統雲安全防護產品。
2. 技術
1)網站雲防護體系。360雲安全防護產品日均處理超過45億次HTTP訪問請求,為國內將近100萬家網站提供實時安全防護服務。360網站衛士提供包括DNS管理、DNS防護、DDoS防護、Web應用防火牆、高階自定義防護等安全策略,網站衛士實時資料分析模組,繼承了網站衛士強大的資料處理能力和高效準確的攻擊識別能力,不僅能為網站及時發現並防護各種攻擊行為,更能夠為網站實時提供業務日常資料分析服務。
2)攻擊識別及溯源。360雲安全防護產品背後擁有全國最大的惡意網址庫、全國最大的第三方漏洞收集平臺、全國頂尖的樣本庫,資料分析規則與360網站安全雲平臺檢測規則實時同步,保證能夠第一時間發現最新的黑客攻擊行為和漏洞資訊,360網站衛士專有的威脅識別模型也可以發現針對Web應用系統的未知漏洞攻擊,同時支援對攻擊行為進行深度溯源定位,甚至可以和360現有的安全衛士端防護體系進行聯動,實現快速雲端查殺。
3)CDN加速體系。360雲安全防護團隊研發了一套獨立的“風雲加速”體系,該體系基於全國15個IDC骨幹節點為網站提供CDN加速服務,克服了傳統網路服務跨運營商訪問慢,單點質量差等問題,通過實時的資料採集分析,動態選擇最佳路徑,優化DNS解析速度以及CDN節點路由選擇線路,壓縮網頁檔案大小,並且針對移動端訪問開啟專屬頁面優化,以保證全國各地更加穩、以最快速度訪問網站。
3. 客戶群
主要面向政府網站、運營商、IDC等單位,為客戶網站提供雲安全防護能力。
360雲安全的特點:
·服務5億PC終端使用者,7億移動終端使用者的安全經驗,能夠解決各種複雜安全問題
· 全球最大雲查殺系統,提供80億樣本的檢測能力
· 全球最大漏洞庫補天漏洞平臺
· 提供安全態勢感知和全面的攻擊溯源能力
· 提供TB級資料秒級查詢的大資料分析能力
· 提供授權、遞迴全覆蓋的安全DNS解決方案,提供全方位的高效限速、防放大攻擊能力
· 提供15個IDC節點,200+萬兆LVS負擔均衡伺服器,100+ WAF伺服器,100+Cache伺服器的頂級雲資源
· 提供專業的5秒識別CC攻擊能力,實時攔截基於HTTP協議的流量攻擊。
· 提供高防DNS叢集,可提供10G-100G不同等級的DNS流量清洗服務。
安全牛評
中國電信雲堤團隊提供的運營商級的防護能力無疑在對抗超大流量攻擊方面具備很強優勢,全網監控、BGP牽引、近源清洗、秒級防護這些都是其他服務商難以企及的。
阿里云云盾依託阿里雲基礎設施,支援BGP和CDN兩種引流,並在應用層DDOS方面獨具優勢,今年針對阿里雲客戶推出的高防服務備受好評。
騰訊大禹來自自身產品防護的長期實踐,主要針對騰訊雲的客戶,在一些遊戲或社交產品的攻擊防護上優勢明顯。
綠盟ADS作為國內最大的抗D裝置供應商,通過與各服務商的全面合作開展服務,也在開展自營的雲安全運營服務,服務也更具靈活性。
360雲安全主要通過CDN加速體系來提供抗D服務,並引入獨有的惡意地址庫、漏洞平臺和樣本庫等,符合其“資料驅動安全”的總體思路。

其實還有百度雲、知道創宇、樂視、藍汛、網宿科技和世紀互聯等雲網路攻防也做的比較好,據說可以抗1TB級別上的DDOS攻擊流量,以上僅供參考。

【附錄】其他dns+CDN高防服務
1、CloudXNS - 免費智慧DNS解析服務-迄今為止最好用的智慧DNS http://www.cloudxns.net/
2、免費DNS_智慧DNS_高防dns【360DNS】最好的域名解析服務商 http://www.360dns.com/
ZDNS-整體域名服務專家-ZDNS Cloud http://www.zdns.cn/cloud.html
CDN|高防CDN_美國高防伺服器_免備案高防空間_網站防攻擊_叢集盾 http://www.jqcdn.net/cdn/
3、wddns|智慧DNS系統|免費智慧DNS解析 - WDlinux官方論壇 Linux伺服器架構,效能優化.免費CDN系統,智慧DNS,負載均衡,叢集分流等應用 http://www.wdlinux.cn/bbs/forum-18-1.html
4、Aegins http://www.cloud.ph/
5、DNS.COM - 免費DNS_高防DNS_智慧DNS_DNS伺服器_DNS設定 - 域名DNS解析服務商 https://www.dns.com/
6、智慧DNS解析系統-穩定免費域名解析-DNSLA https://www.dns.la/
7、國內5大免費智慧DNS解析 - 站長之家 http://www.chinaz.com/free/2010/0521/115866.shtml
8、Diycdn智慧加速平臺-免費CDN網站加速服務,高防CDN+免備案CDN+免費CDN,抗攻擊穩定高效 http://www.diycdn.com/
9、dns盾-免費DNS_高防DNS_智慧DNS_DNS解析_免費智慧DNS解析服務商 https://www.dnsdun.com/
10、DNSPod-免費智慧DNS解析服務商-電信_網通_教育網,智慧DNS https://www.dnspod.cn/
11、七牛雲官網 - 國內領先的企業級雲服務商 http://www.qiniu.com/
       又拍雲-新一代 CDN 服務提供商 https://www.upyun.com/index.html
12、YUNDUN-抗DDoS_防CC攻擊_高防智慧DNS_免費CDN加速_WAF雲防禦 https://www.yundun.com/
13、重新定義CDN-星域CDN官網 http://xycdn.com/ **
14、首頁 | 自助CDN 雲CDN 雲分發 智慧CDN CDN技術 CDN加速 網站加速 HTTPS加速 SPDY加速 SSL加速 https://www.verycdn.cn/
15、高防CDN_防DDOS攻擊,高防CDN,免備案高防空間,wafcdn全球雲防禦系統-專業虛擬主機提供商 http://www.wafcdn.net/cdn/
16、網站CDN加速和海外高防禦 - 廈門市樂速海盟網路技術有限公司 http://icdn.cn/
17、高防cdn,免費高防cdn,網站防火牆,防DDOS攻擊,防CC攻擊,高防叢集cdn,遊戲視訊加速,伺服器加速,負載均衡,免費cdn http://www.ddos-cdn.com/ **
18、打不死CDN DABUSI.COM 高防伺服器|美國高防伺服器|中國高防伺服器|韓國高防伺服器。 http://www.dabusi.com/cdn.asp


“智慧DNS”跟“雙線加速”、“CDN加速”的區別-ChinaCDN加速專家·卓越的網際網路業務平臺提供商 http://www.fastcache.com.cn/html/6745825813.html      如何判斷域名解析是智慧DNS還是CDN加速?

相關文章