就在昨天,一個叫DNS的名詞竟然搶了希拉蕊VS川普之美國總統大選最後一場電視辯論的風頭。
原來,因為DNS服務提供商Dyn公司的Managed DNS基建遭遇嚴重DDoS攻擊,從2016年10月21日北京時間19點11分開始,Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及紐約時報等美國主要網站陸續出現部門區域無法登陸的情況。
大洋彼岸的小夥伴們原本只是想上Spotify聽個音樂,發現網斷了。歡欣鼓舞地準備上Twitter吐槽一下,結果Twitter也掛掉了。沒辦法,只能好好工作了……
“DNS好比網際網路的心臟。但不少企業對這一塊沒有引起足夠重視”,阿里雲首席安全研究員,雲盾負責人吳翰清認為,這場由DNS引發的癱瘓事件將敲響所有企業的安全警鐘。
為什麼會發生癱瘓?DNS是網際網路心臟
位於美國新罕布什爾州曼徹斯特市的Dyn是美國主要域名伺服器(DNS)供應商。域名,網友訪問網際網路的起點和入口,也是全球網際網路通訊的基礎。而DNS作為承載全球億萬域名正常使用的系統,則是網際網路重要的基礎設施。即使調侃它為網際網路的心臟也不為過,大夥想想,如果一個人的心臟出錯,那會是什麼局面?
造成本次大規模網路癱瘓的原因是Dyn公司的伺服器遭到了DDoS攻擊。DDoS攻擊又稱為拒絕服務攻擊。最基本的DDoS就是黑客利用合理的服務請求去佔用儘可能多的服務資源,從而使得使用者無法得到服務響應。當DDoS攻擊Dyn公司,很多DNS查詢無法完成,使用者也就無法通過域名訪問Twitter、GitHub等站點了。
事實上,不止在美國。國內也曾遇到多起DNS癱瘓引發的“慘案”。比較著名的是2014年1月21日那次。那也是迄今為止,大陸境內發生的最為嚴重的DNS故障,所有通用頂級域(.com/.net/.org)遭到DNS汙染。所有的域名全被指向了位於美國的一個IP地址(65.49.2.178)。
萬物互聯引發的安全問題?只是一個縮影
國外媒體報導稱,針對IoT裝置的殭屍網路或許是發起本次DDoS攻擊的重要來源。網際網路骨幹服務Level 3 Communications公司首席安全官表示,被Mirai感染的裝置中,約有10%參與了本次DDoS攻擊。
隨著萬物互聯,也即所謂的物聯網必將引發大量網路安全問題。而週五發生的這場攻擊只是未來安全問題的一個縮影。從當前安全從業者處瞭解到,目前網際網路感染殭屍木馬的iot裝置約在60萬左右,這些裝置如果一起攻擊,可以輕鬆發起接近1T(相當於中國一個省流量)的攻擊。“普通企業已經不具備能力與攻擊者對抗。”吳翰清說。
在國內,還有大量的攻擊是從各家運營商的IDC機房打出。知情者透露,一起300G左右的攻擊,約有20%左右是從IDC機房打出。藉此機會,吳翰清也呼籲國內運營商在源端建立近源清洗的能力,確保攻擊者不會輕易的將攻擊流量打出。
DDoS產業猖獗,黑客怎麼防?HTTPS+雲解析
國內科技網站雷鋒網報導,當前黑客攻擊已經形成產業鏈。網際網路上充斥著大量的攻擊工具和木馬,給攻擊者製造了便利。一些黑客甚至明碼標價。比如,打1G的流量到一個網站一小時,網上報價只需50塊錢。黑客掌握攻擊“武器”之後,通常受利益驅動,或主動或受僱傭,去攻擊一些高盈利行業。比如金融、遊戲行業。
面對如此猖獗的DDoS產業鏈,企業又該如何防禦?越來越多企業選擇聯合雲服務商解決困擾。理由有兩點,一是雲上業務包羅永珍,電商、遊戲、金融、新型網際網路,雲服務商的安全團隊經過無數次攻防對抗之後,對各類業務的深刻理解以及DDoS檢測規則與業務的耦合度非企業安全運維人員所能及。第二,因為雲端計算廠商可以將雲解析整合進高防業務,利用雲端計算的彈性擴充套件特性來提升DNS解析能力,這是它們得天獨厚的優勢。
“雲服務商有更多防禦資源,更完善的防禦體系。這個時候企業需要借用雲的能力,通過資源共享,頻寬共享去解決問題“。吳翰清介紹,阿里雲的雲解析企業版已經具備300G+5億QPS防禦峰值能力的權威DNS伺服器叢集。 ”網際網路企業最關心的移動端安全問題,如何防止APP跟伺服器端通訊的資料不被中間人劫持,篡改和監聽,啟用https加密就能解決。”