為什麼選擇高防DNS?
DNS(Domain Name System,域名伺服器)是網際網路的一項核心服務,是域名與對應IP地址進行轉換的系統,可將易於記憶的域名轉換為可由伺服器識別的用於互連通訊的數字IP地址。隨著大資料時代的到來,傳統DNS所存在的DNS劫持、域名轉發、不支援IPv6等問題給使用者帶來了“解析時間太長”,“網路線路卡頓、不通暢”,甚至是“網路完全癱瘓”等不好的體驗,傳統的DNS解析已經不能滿足使用者和企業方對網站訪問的要求,人們需要更加快速、安全、可靠、具有權威性的DNS解析管理服務。高防DNS雲解析透過其彈性頻寬設定,配備DDoS防火牆和流量清洗等功能特性,保護了網路安全,提高了解析速度,高防DDoS攻擊。那麼,高防DNS雲解析具體是如何實現的呢?
針對DNS的攻擊有哪些?
針對DNS的攻擊基本可分為三大類,分別為拒絕服務類(DNS放大,資源耗盡,緩衝區溢位,ICMP Flood,SYN Flood),分散式拒絕服務類(VDP Flood,NTP放大,HTTP Flood,FAST Flux, XSS) 和DNS劫持類(DNS欺騙,DNS隧道,DNS重新繫結,DNS拼寫仿冒)。這些攻擊會導致網路釣魚、網站資訊被竊取、網路癱瘓、使用者經濟損失等後果(表1,DNS攻擊分析)。
表1 DNS 攻擊分析
其中,對DNS傷害性最高的莫過於DDoS攻擊(Distributed Denial of Service Attack,分散式拒絕服務攻擊),DDoS攻擊是DoS攻擊的升級版,不同於DoS一對一的攻擊方式,駭客將成千上萬的殭屍主機聯合起來在同一時間對同一臺主機進行攻擊(圖1,DNS DDoS攻擊),超大流量的攻擊將直接耗盡伺服器寬頻容量,淹沒系統,且多源主機的聯合攻擊無法短時間內找到可能來自世界各地的訪問源頭,無法直接關閉訪問,網路伺服器將迅速崩潰。之所以說DNS DDoS傷害性最大是因為現代網際網路環境下人們依賴於大資料的雲端儲存,而在此環境下的雲端域名管理多采用集中化管理,結合DDoS的攻擊特性,使得雲端DNS伺服器一旦受到攻擊就會造成很嚴重的後果。
圖1 DNS DDoS攻擊
對比在伺服器遭受攻擊後再進行反擊,更加有效的做法是採用高防DNS雲解析,監測DNS攻擊和安全防護DNS系統是高防DNS雲解析針對DNS系統安全的有效保障功能。
高防DNS雲解析的功能
DNS的DDoS攻擊最核心的原理是搶佔伺服器寬頻容量,耗盡伺服器的資源,無法響應正常的訪問。因此,強大的硬體措施,高品質的網路裝置能有效抵禦DDoS攻擊,那麼,高防DNS雲解析所具備的功能有哪些?
1.彈性頻寬
對於客戶來講,長時間買入超大頻寬是不現實的,雖然DDoS/DNS攻擊是最常見的DNS攻擊型別,卻不是經常會發生的,所以彈性頻寬被廣泛採用。彈性頻寬就是對頻寬資源的利用率達到最大化,根據網路狀態動態化改變IP所擁有的頻寬。當伺服器未遭受到攻擊時,頻寬將設定為保障客戶可以正常快速訪問網站的資源量,而當DNS安全監測(後文重將簡單提及)到伺服器受到DDoS攻擊時,頻寬限速將瞬間擴大,使伺服器的頻寬容量在短時間內不會被消耗乾淨,使用者還能正常地進行網站訪問。中科三方的彈性頻寬最高可提供高達1T DDoS攻擊防護和超過6億QPS查詢防護。
2.流量清洗
流量清洗是針對現有的DNS DDoS攻擊的有效防禦機制之一,它透過對DNS攻擊進行檢測和分析,對已有快取的域名結果應答進行預構建,從而過濾掉DDoS攻擊流量。因DDoS攻擊具有偽造的源IP地址單一,DNS伺服器的頻寬容量會迅速擴大,查詢的響應時間會瞬間拉長的特點,透過特定的網路流量演算法(網路流量資訊熵)可以準確地檢測和清理惡意的流量攻擊,一旦檢測到DDoS攻擊,客戶端和伺服器端都將收到預警資訊。流量清洗技術還具備一定的“記憶”功能,即當DNS伺服器面對相同地址的再次惡意攻擊或是市面上已經出現過的惡意訪問地址查詢時,會由快取系統直接應答,從而緩解了權威解析伺服器的負載壓力,縮短了解析的應答時間(圖2, 流量清理過程圖)。
圖2 流量清理過程圖
當然,流量清理也不是絕對安全的,這項高防機制也存在一定的弊端。例如,它在對DDoS攻擊進行攔截時,可能也會攔截正常的查詢訪問產生錯誤報文;資源庫裡儲存的偽造源IP地址有限,不能第一時間針對每一次的DDoS攻擊產生有效的應答,可能會造成清洗不及時;使用資料庫儲存域名,對系統資源消耗也是很大的。流量清洗技術仍存在著很大的可發展空間。
3.DDoS防火牆
配備專業的DDoS防火牆,可有效抵禦DDoS,UDP Flood,ICMP,IGMP,SYN Flood,ARP攻擊,非TCP/IP協議層攻擊等其他多種的未知攻擊,透過整合的機制對這些攻擊進行處理和阻斷,這些防禦措施是根據網路監控和資料包分析進行獲取分析各類攻擊從而生成對應的防禦措施,即DDoS防火牆會自主研發獨特的抗攻擊演算法,目的是佔用極少的資源(CPU佔比僅1%)防禦大量的攻擊。DDoS防火牆還具備監控的功能,一旦發現伺服器遭受攻擊,客戶端和伺服器端將同時收到警告資訊。
4.其他高防措施
高防DNS雲解析需要在智慧雲解析的其他功能的輔助下完成其高防的任務(表 2 智慧DNS雲解析其他功能)。
表2 智慧DNS雲解析其他功能
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2921337/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 為什麼選擇高防DNS雲解析?(一)DNS
- 雲解析的高防DNS是什麼意思?高防DNS有什麼用?DNS
- 什麼是高防伺服器? 如何選擇?伺服器
- 為什麼選用高防伺服器伺服器
- 海外高防伺服器該怎麼選擇伺服器
- 為什麼選擇Guice框架GUI框架
- Aembit為什麼選擇 Rust?Rust
- 為什麼選擇使用Rust?Rust
- 為什麼要選擇SQL?SQL
- 為什麼選擇Java語言用作高頻交易?-JadJava
- 為什麼選擇.NETCore?NetCore
- 為什麼選擇centos系統CentOS
- 為什麼選擇Cynefin框架? – zwischenzugs框架
- (轉)為什麼選擇機器學習策略機器學習
- 我為什麼選擇 Angular 2?Angular
- Android為什麼選擇binderAndroid
- 為什麼選擇Twitter Storm?薦ORM
- 恆訊科技分析:如何選擇高防cdn與高防ip?
- dns劫持,dns劫持是什麼,該怎麼去預防dns劫持DNS
- 為什麼要租用高防伺服器?伺服器
- 為什麼選擇ASP.NET CoreASP.NET
- 老闆:你為什麼要選擇 Vue?Vue
- 為什麼選擇PostgreSQL而不是MySQLMySql
- 我為什麼選擇成為獨立開發者
- 為什麼建議新手選擇Ubuntu?告訴你選擇理由!Ubuntu
- 高防IP是什麼?
- 為什麼選擇獨立伺服器伺服器
- 為什麼選擇學習六西格瑪?
- 為什麼爬蟲要選擇住宅代理?爬蟲
- 為什麼選擇無伺服器模型?伺服器模型
- 為什麼選擇Python做爬蟲Python爬蟲
- 為什麼GitLab選擇Vue.js?GitlabVue.js
- 我為什麼選擇了 AdonisJsJS
- 如何選擇高防伺服器?高防伺服器租用價格表伺服器
- Elasticsearch 中為什麼選擇倒排索引而不選擇 B 樹索引Elasticsearch索引
- 如何選擇版本控制系統——為什麼選擇Git版本控制系統Git
- 為什麼要選擇蘋果企業簽名?蘋果
- 為什麼機器學習會選擇Python語言?機器學習Python